RÁMCOVÁ DOHODA O poskytování služeb TESTOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI

RÁMCOVÁ DOHODA O poskytování služeb TESTOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI

(dále jen „Smlouva“)

uzavřená ve smyslu § 131 a násl. zákona č. 134/2016 Sb., o zadávání veřejných zakázek, ve znění pozdějších předpisů (dále jen „ZZVZ“), podle § 1746 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“)

Smluvní strany:

Objednatel: Česká republika – Ministerstvo práce a sociálních věcí

se sídlem: Xx Xxxxxxxx xxxxx 0/000, 000 00 Xxxxx 0

IČO: 00551023

zastoupená: Ing. Xxxxxx Xxxxxxxx, vrchním ředitelem sekce informačních technologií

bankovní spojení: Česká národní banka, pobočka Xxxxx, Xx Xxxxxxx 00, 00000 Xxxxx 0

č. účtu: 2229001/0710

ID datové schránky: sc9aavg

(dále jen „Objednatel“)

Poskytovatel: AEC a.s.

se sídlem: Xxxxxxxxx 0000/00x, 000 00 Xxxxx Xxxxx

IČO: 04772148

DIČ: CZ04772148

bankovní spojení: neveřejný údaj

č. účtu: neveřejný údaj

zastoupen: Ing. Xxxxxxx Xxxxxxxx, členem představenstva

zapsaný v obchodním rejstříku vedeném u Městského soudu v Praze, oddíl B, vložka 21326

(dále jen „Poskytovatel“)

(Objednatel a Poskytovatel společně též jako „Smluvní strany“ a/nebo jednotlivě jako „Smluvní strana“)

Smluvní strany, vědomy si svých závazků v této Smlouvě obsažených a s úmyslem být touto Smlouvou vázány, dohodly se na následujícím znění Smlouvy:

ÚVODNÍ USTANOVENÍ
1. Objednatel prohlašuje, že:
  1. je ústředním orgánem státní správy, jehož působnost a zásady činnosti jsou stanoveny zákonem č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, a
  2. splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené.
2. Poskytovatel prohlašuje, že:
  1. je právnickou osobou řádně založenou a existující podle českého právního řádu,
  2. splňuje veškeré podmínky a požadavky v této Smlouvě stanovené a je oprávněn tuto Smlouvu uzavřít a řádně plnit závazky v ní obsažené, a
  3. ke dni uzavření této Smlouvy vůči němu není vedeno řízení dle zákona č. 182/2006 Sb., o úpadku a způsobech jeho řešení (insolvenční zákon), ve znění pozdějších předpisů, a zároveň se zavazuje Objednatele o všech skutečnostech o hrozícím úpadku bezodkladně informovat.
3. Objednatel oznámil dne 30. 11. 2022 Oznámením o zahájení zadávacího řízení uveřejněného ve Věstníku veřejných zakázek svůj záměr zadat veřejnou zakázku s názvem „Testování kybernetické bezpečnosti“, ev. č. Z2022-048388 (dále jen „Veřejná zakázka“) dle zákona č. 134/2016 Sb., o zadávání veřejných zakázek (dále jen „ZZVZ“). Na základě tohoto zadávacího řízení byla pro plnění Veřejné zakázky vybrána nabídka Poskytovatele v souladu s ustanovením § 122 odst. 1 ZZVZ.
4. Smluvní strany prohlašují, že mají společnou snahu přispět k férovému a etickému prostředí. S cílem kultivovat prostředí tuzemského trhu tak, aby se přiblížilo vyšším standardům v oblasti obchodní, soutěžní a pracovněprávní etiky, smluvní strany učinily nedílnou součástí této Smlouvy Etický kodex, v souladu, s jehož pravidly se zavazují předmět Smlouvy plnit.
ÚČEL SMLOUVY
1. Účelem této Smlouvy je zajištění realizace předmětu Veřejné zakázky dle zadávací dokumentace Veřejné zakázky, tj. poskytnutí služeb spočívajících v komplexním zajištění bezpečnostního testování ICT prostředí resortu MPSV a jeho technických i netechnických součástí, a to v souladu s požadavky Objednatele definovanými touto Smlouvou.
2. Objednatel uzavírá tuto Smlouvu také s cílem naplnit legislativní požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů, ve znění pozdějších předpisů (dále jen „ZKB“) a vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (dále jen „VKB“) (zákon i vyhláška dále jen „Kybernetická legislativa“).
3. Poskytovatel uzavřením této Smlouvy garantuje Objednateli splnění dílčích plnění dle této Smlouvy v souladu se všemi zadávacími podmínkami vyplývajícími ze zadávací dokumentace Veřejné zakázky. Garance dle předchozí věty je aplikačně nadřazena ostatním podmínkám a garancím uvedeným v této Smlouvě. Pro vyloučení jakýchkoliv pochybností to znamená, že:
  1. v případě jakékoliv nejistoty ohledně výkladu ustanovení této Smlouvy budou tato ustanovení vykládána tak, aby v co nejširší míře zohledňovala účel Veřejné zakázky vyjádřený zadávací dokumentací,
  2. v případě chybějících ustanovení této Smlouvy budou použita dostatečně konkrétní ustanovení zadávací dokumentace,
4. Poskytovatel je vázán svou nabídkou předloženou Objednateli v rámci zadávacího řízení na zadání Veřejné zakázky, která se pro úpravu vzájemných vztahů vyplývajících z této Smlouvy použije subsidiárně.
PŘEDMĚT SMLOUVY
1. Předmětem této Smlouvy je poskytování plnění spočívající v zajištění služeb testování kybernetické bezpečnosti zahrnující zejména:
  1. Testování dostupnosti poskytované způsobem definovaným touto Smlouvou,
  2. Penetrační testování poskytované způsobem definovaným touto Smlouvou,
  3. Zátěžové testování poskytované způsobem definovaným touto Smlouvou,
  4. Testování bezpečnosti aplikací poskytované způsobem definovaným touto Smlouvou,
  5. Testování kontinuity a obnovy poskytované způsobem definovaným touto Smlouvou,
  6. Testování metodami sociálního inženýrství poskytované způsobem definovaným touto Smlouvou,
  7. Služby bezpečnostního auditu poskytované způsobem definovaným touto Smlouvou.

(plnění dle odst. 3.1.1 až 3.1.7 dále jako „Bezpečnostní testování“ nebo společně též jako „Předmět plnění“).

Konkrétní specifikace požadovaného Předmětu plnění bude Objednatelem upřesněna při uzavírání dílčích smluv dle čl. 5 této Dohody.
Poskytovatel dále bere na vědomí, že na základě plnění této Smlouvy získá přístup k osobním údajům a k záznamům, které mohou obsahovat osobní údaje či jejich fragmenty uložené v monitorovaných systémech Objednatele. Poskytovatel se zavazuje pro Objednatele jako správce osobních údajů zpracovávat osobní údaje prostředí ICT Objednatele, a to dle podmínek stanovených v čl. 13 této Smlouvy.
Objednatel se touto Smlouvou zavazuje poskytnout Poskytovateli nezbytnou součinnost při poskytování Předmětu plnění Poskytovatelem v rozsahu, který je vymezen v této Smlouvě.
Objednatel se zavazuje zaplatit Poskytovateli dohodnutou cenu za řádně a včas poskytnutý Předmět plnění nebo jeho část, a to za podmínek touto Smlouvou dále stanovených.
Poskytovatel se zavazuje alokovat na poskytování Předmět plnění dle této Smlouvy kapacity členů realizačního týmu Poskytovatele a poskytovat Předmět plnění dle této Smlouvy, resp. dílčí smlouvy dle čl. 4 této Smlouvy, za aktivní účasti členů realizačního týmu uvedeného v Příloze 3 této Smlouvy, xxxxx Xxxxxxxxxxxx prokázal svou kvalifikaci v zadávacím řízení Veřejné zakázky. Alokací kapacity se rozumí dostupnost kteréhokoliv člena realizačního týmu nebo jeho odpovídajícího náhradníka, jenž má minimálně stejnou kvalifikaci jako nahrazovaný člen realizačního týmu. Jakákoliv dodatečná změna členů realizačního týmu musí být předem projednána a písemně schválena Objednatelem, přičemž toto bude Objednatelem schváleno v závažných a odůvodněných případech. Poskytovatel se v takovém případě zavazuje nahradit osobu realizačního týmu takovou osobou, která disponuje požadovanými minimálními znalostmi a odbornou kvalifikací dle požadavků Objednatele uvedených v zadávací dokumentaci Veřejné zakázky a minimálně stejnými zkušenostmi a praxí, které byly předmětem hodnocení dle zadávací dokumentace, tj. Poskytovatel musí doložit, že nový člen realizačního týmu by získal alespoň stejný počet bodů (v rámci hodnocení nabídek) jako člen realizačního týmu, kterého nahrazuje. Smluvní strany tímto ujednaly, že v případě dodatečné změny členů realizačního týmu není nutné uzavírat dodatek, jímž dojde ke změně Přílohy 3 této Smlouvy.
Poskytovatel se zavazuje poskytovat plnění dle této Smlouvy sám, nebo s využitím poddodavatelů uvedených v Příloze 5 této Smlouvy. Jakákoliv dodatečná změna osoby poddodavatele nebo rozsahu plnění svěřeného poddodavateli musí být předem písemně schválena Objednatelem, ledaže by plnění původně svěřené poddodavateli realizoval Poskytovatel sám. Smluvní strany tímto ujednaly, že v případě dodatečné změny poddodavatele není nutné uzavírat dodatek, jímž dojde ke změně Přílohy 5 této Smlouvy.
Smluvní strany výslovně uvádějí, že při poskytování plnění dle této Smlouvy prostřednictvím jakékoliv třetí osoby má Poskytovatel odpovědnost, jako by plnění dle této Smlouvy realizoval sám.

MÍSTO, TERMÍNY A ZPŮSOB PLNĚNÍ
1. Předmět plnění může být Objednatelem poptáván kdykoliv po dobu účinnosti této Smlouvy, přičemž Objednatel není povinen Předmět plnění objednat (uzavřít jedinou dílčí smlouvu).
2. Poskytovatel se zavazuje realizovat Bezpečnostní testování dle odst. 3.1 této Smlouvy v termínech specifikovaných v jednotlivých Dílčích smlouvách uzavřených dle této Dohody a případně detailně upřesněných jednotlivými pokyny a požadavky Objednatele. Dílčí smlouvy je možné uzavírat po celou dobu účinnosti této Smlouvy. Nejzazším dnem, kdy lze na základě této Dohody uzavřít dílčí smlouvu, je poslední den účinnosti této Smlouvy.
3. Veškeré písemné výstupy ze své činnosti bude Poskytovatel předávat v sídle Objednatele, nebude-li v konkrétním případě Smluvními stranami sjednáno jinak.
4. Místem plnění je prostředí ICT Objednatele. Poskytovatel může přistupovat do prostředí ICT Objednatele ze svého prostředí a ze svých ICT zařízení.
ZPŮSOB UZAVÍRÁNÍ DÍLČÍCH SMLUV A POSKYTOVÁNÍ BEZPEČNOSTNÍHO TESTOVÁNÍ
1. Objednatel bude na základě této Smlouvy, způsobem dále uvedeným, objednávat Bezpečnostní testování vždy v čase a v rozsahu dle své aktuální potřeby.
2. Dílčí smlouvy dle této Smlouvy budou uzavírány na základě písemné výzvy (čl. 5.3 této Smlouvy) Objednatele k poskytnutí Předmětu plnění, jež je návrhem na uzavření dílčí smlouvy a sestavením Plánu testování Poskytovatelem (čl. 5.4 této Smlouvy), jež je přijetím návrhu dílčí smlouvy.
3. V případě potřeby poskytnutí Bezpečnostního testování dle odst. 3.1 této Smlouvy Objednatel sestaví a zašle Poskytovateli písemnou výzvu se zadáním pro testování, která bude obsahovat minimálně:

(dále jen „Zadání“).

Poskytovatel je povinen dle Zadání sestavit do 10 pracovních dnů Plán testování, který musí minimálně obsahovat:

(dále jen „Plán testování“).

V případě, že Objednatel souhlasí s Plánem testování, informuje bez prodlení Poskytovatele. Objednatel je oprávněn i bez udání důvodu Poskytovatelem předložený Plán testování odmítnout nebo se k němu nevyjádřit nebo si vyžádat jeho úpravu dle svých odůvodněných požadavků, a to bez jakýchkoliv nároků vznikajících v této souvislosti Poskytovateli. Objednatel je oprávněn v Zadání uvést, že v případě, že se k Plánu testování navrženému Poskytovatelem na základě Zadání nevyjádří do uplynutí určité lhůty, považuje se Plán testování za odsouhlasený.
V případě, že si Objednatel vyžádá úpravu Plánu testování, je Poskytovatel povinen tuto úpravu provést bez zbytečného odkladu za obdobného použití odst. 5.4 této Smlouvy. Plán testování, jakož i jeho případná úprava ve smyslu předchozí věty bude Poskytovatelem vypracována bez nároku na dodatečnou úhradu, neboť náklady Poskytovatele s tím spojené jsou již promítnuty v ceně plnění dle této Smlouvy.
Po vzájemném odsouhlasení Plánu testování oběma smluvními stranami je dílčí smlouva uzavřena a Poskytovatel provede Bezpečnostní testování v termínech, které je v Plánu testování uvedené.
Veškerou komunikaci o Zadání a Plánu testování mezi Objednatelem a Poskytovatelem vedou pouze Osoby oprávněné za Objednatele a Poskytovatele uvedené v Příloze 4 této Smlouvy.
Poskytovatel bude provádět Bezpečnostní testování v požadovaném rozsahu tak, aby byla minimalizovaná zátěž zaměstnanců MPSV a nebyla na ně přenášena odpovědnost za provedení činností spojených s realizací, přípravou ani dokumentováním testů.
Objednatel umožní umístění technických zařízení (HW, SW) nutných pro provedení testování v datových centrech, případně v cloudovém prostředí Objednatele (Azure). Náklady na takové umístění plně hradí Dodavatel. Objednatel poskytne pouze součinnost jeho zaměstnanců. V případě, že bude nutná součinnost třetích stran, náklady za takovou součinnost hradí Dodavatel.
Objednatel na základě požadavků Poskytovatele zajistí fyzické a logické přístupy k aktivům, které jsou předmětem testování. Požadavky na tyto přístupy musí být součástí Plánu testování dle odst. 5.4.
Objednatel bude pro každé testování měřit jeho kvalitu provedení testování. Měření bude založeno na dodržení akceptačních kritériích, která jsou součástí Plánu testování dle odst. 5.4. Objednatel může využít vlastní oponentní komisi složenou ze zaměstnanců Objednatele i třetích stran k hodnocení kvality provedeného testování a ke kontrole dodržení dalších parametrů, které byly součástí Plánu testování.

ZMĚNOVÉ ŘÍZENÍ
1. Kterákoliv ze smluvních stran je oprávněna písemně navrhnout změny ve specifikaci typů testů, které jsou uvedeny v Příloze 1 této Smlouvy. Objednatel není povinen navrhovanou změnu akceptovat. Poskytovatel se zavazuje vynaložit veškeré úsilí, které po něm lze spravedlivě požadovat, aby změnu požadovanou Objednatelem akceptoval.
2. Poskytovatel se zavazuje provést hodnocení dopadů kteroukoliv smluvní stranou navrhovaných změn na termíny plnění, cenu a součinnost Objednatele. Poskytovatel je povinen toto hodnocení provést bez zbytečného odkladu, nejpozději do 5 pracovních dnů ode dne doručení návrhu kterékoliv smluvní strany druhé smluvní straně.
3. Jakékoliv změny ve specifikaci typů testů musí být písemně sjednány v souladu s příslušnými ustanoveními ZZVZ, a to zejména v souladu s ustanovením § 222 ZZVZ.
AKCEPTACE
1. Každý výstup z Bezpečnostního testování, který představuje samostatný předmět způsobilý přejímky (dále jen „dílčí plnění“), bude Objednatelem akceptován na základě akceptační procedury. Akceptační procedura zahrnuje ověření, zda Poskytovatelem poskytnuté dílčí plnění je výsledkem, ke kterému se Poskytovatel zavázal, a to porovnáním skutečných vlastností jednotlivých dílčích plnění Poskytovatele s jejich závaznou specifikací uvedenou v Nabídce testování či jiném dohodnutém závazném dokumentu za využití akceptačních kritérií tam stanovených nebo později pro tento účel dohodnutých Smluvními stranami.
2. Akceptace výstupů z Bezpečnostního testování (dále jen „Výstupy“)
  1. Výstupy, které mají být podle této Smlouvy vypracované Poskytovatelem a předané Objednateli, budou Objednatelem schválené a akceptované v souladu s akceptační procedurou definovanou v tomto odst. 7.2 Smlouvy.
  2. Poskytovatel se zavazuje průběžně konzultovat práce na vytvoření Výstupů s Objednatelem. Poskytovatel je povinen předat Výstupy k akceptaci včas tak, aby mohly být dodrženy navazující termíny.
  3. Objednatel je povinen vznést své výhrady nebo připomínky k Výstupům do 10 pracovních dnů ode dne jejich doručení. Vznese-li Objednatel výhrady nebo připomínky k Výstupům, zavazuje se Poskytovatel do 10 pracovních dnů provést veškeré potřebné úpravy Výstupů dle výhrad a připomínek Objednatele a takto upravené Výstupy předat Objednateli k akceptaci. Pokud výhrady a připomínky Objednatele přetrvávají nebo Objednatel identifikuje výhrady a připomínky nové, je Objednatel oprávněn postupovat podle tohoto odst. 7.2.3 Smlouvy i opakovaně.
  4. V případě, že Objednatel nemá k Výstupům připomínky ani výhrady, zavazuje se ve lhůtě 10 pracovních dnů od předložení Výstupu k akceptaci tento Výstup akceptovat a potvrdit o tom písemný předávací protokol.
  5. Bude-li trvání akceptační procedury ovlivněné vznesením výhrad nebo připomínek Objednatele k dokumentu a potřebou jejich vyřešení, nebude to mít vliv na dohodnuté termíny pro akceptaci dokumentu.
3. Lhůty uvedené v čl. 7 této Smlouvy platí, pokud se Smluvní strany nedohodnou písemně jinak.
DALŠÍ POVINNOSTI POSKYTOVATELE
1. Poskytovatel se dále zavazuje:
  1. poskytovat plnění podle této Smlouvy vlastním jménem, na vlastní odpovědnost a v souladu s pokyny Objednatele řádně a včas, zejména se zohledněním délky trvání akceptační procedury;
  2. poskytovat plnění podle této Xxxxxxx s péčí řádného hospodáře odpovídající podmínkám sjednaným v této Smlouvě; dostane-li se Poskytovatel do prodlení se svým plněním bez toho, aby to způsobil Objednatel či překážky vylučující povinnost k náhradě škody po dobu delší než 30 dnů, je Objednatel oprávněn zajistit náhradní plnění po dobu prodlení Poskytovatele jinou osobou; v takovém případě se Poskytovatel zavazuje nahradit v plném rozsahu náklady spojené s náhradním plněním;
  3. upozorňovat Objednatele včas na všechny hrozící vady či výpadky svého plnění, jakož i poskytovat Objednateli veškeré informace, které jsou pro plnění Smlouvy nezbytné;
  4. neprodleně oznámit písemnou formou Objednateli překážky, které mu brání v plnění předmětu Smlouvy a výkonu dalších činností souvisejících s plněním předmětu Smlouvy;
  5. upozornit Objednatele na potenciální rizika vzniku škod a včas a řádně dle svých možností provést taková opatření, která riziko vzniku škod zcela vyloučí nebo sníží;
  6. i bez pokynů Objednatele provést nutné úkony, které, ač nejsou předmětem této Smlouvy, budou s ohledem na nepředvídané okolnosti pro plnění Smlouvy nezbytné nebo jsou nezbytné pro zamezení vzniku škody; jde-li o zamezení vzniku škod nezapříčiněných Poskytovatelem, má Poskytovatel právo na úhradu nezbytných a účelně vynaložených nákladů;
  7. postupovat při poskytování plnění podle této Xxxxxxx s odbornou péčí a aplikovat procesy „best practice“;
  8. v případě potřeby průběžně komunikovat s Objednatelem a třetími osobami, vyžaduje-li to řádné poskytnutí plnění, přičemž veškerá taková komunikace bude probíhat v českém jazyce (případně slovenském, nebo za využití překladatele do českého jazyka); v takovém případě hradí náklady na překladatele Poskytovatel v plném rozsahu;
  9. informovat Objednatele o plnění svých povinností podle této Smlouvy a o důležitých skutečnostech, které mohou mít vliv na výkon práv a plnění povinností smluvních stran;
  10. zajistit, aby všechny osoby podílející se na plnění jeho závazků z této Smlouvy, které se budou zdržovat v prostorách nebo na pracovištích Objednatele, dodržovaly účinné právní předpisy o bezpečnosti a ochraně zdraví při práci a veškeré interní předpisy Objednatele, s nimiž Objednatel Poskytovatele obeznámil;
  11. chránit osobní údaje, data a duševní vlastnictví Objednatele a třetích osob;
  12. upozorňovat Objednatele v odůvodněných případech na případnou nevhodnost pokynů Objednatele.
2. Poskytovatel se dále zavazuje udržovat v platnosti a účinnosti po celou dobu účinnosti Xxxxxxx pojistnou smlouvu, jejímž předmětem je pojištění odpovědnosti za škodu způsobenou Poskytovatelem třetí osobě (zejména Objednateli), a to tak, že limit pojistného plnění vyplývající z pojistné smlouvy, nesmí být nižší než 20.000.000,- Kč za rok. Pojistnou smlouvu dle tohoto odstavce, pojistku potvrzující uzavření takové smlouvy nebo pojistný certifikát potvrzující uzavření takové smlouvy je Poskytovatel povinen předložit Objednateli kdykoliv bezodkladně po písemném vyžádání Objednatele. Nepředložením pojistné smlouvy, pojistky nebo pojistného certifikátu do 1 měsíce po vyžádání ze strany Objednatele vzniká právo Objednatele na odstoupení od Smlouvy.
3. Poskytovatel se dále zavazuje poskytnout Objednateli veškeré informace potřebné ke splnění povinností Objednatele dle § 219 ZZVZ, zejména, nikoli však výlučně, nejpozději do 15. března následujícího kalendářního roku informaci o ceně uhrazené za plnění dle této Smlouvy v předchozím kalendářním roce plnění Smlouvy.
4. Poskytovatel se zavazuje, že on ani jeho zaměstnanci, poddodavatelé (subjekt, prostřednictvím kterého bude Poskytovatel poskytovat část Předmětu plnění) nebo jiné fyzické nebo právnické osoby s ním spojené nebo jednající s ním ve shodě se nebudou podílet v pozici dodavatele (účastníka zadávacího řízení) nebo poddodavatele na realizaci veřejných zakázek zadávaných Objednatelem bezprostředně spojených s dodávkou produktů a služeb pro prvky kritické informační infrastruktury Objednatele a významné informační systémy Objednatele určené dle ZKB, jejichž testování kybernetické bezpečnosti je Předmětem plnění (dále jen „Dotčené plnění“).
  1. Za Dotčené plnění se považuje jakékoliv plnění veřejných zakázek Objednatele, v rámci kterých by Poskytovatel, jeho zaměstnanci, subdodavatelé (subjekt, prostřednictvím kterého bude Poskytovatel poskytovat část Předmětu plnění) nebo jiné fyzické nebo právnické osoby s ním spojené nebo jednající s ním ve shodě, měli protichůdné zájmy, které by mohly negativně ovlivnit plnění veřejné zakázky zadávané Objednatelem ve smyslu § 79 ZZVZ.
  2. Za Dotčené plnění není považováno zejména poskytování telekomunikačních služeb pro koncové uživatele, pronájem datových okruhů, poskytování internetové konektivity, pronájem fyzického prostoru v datových centrech a služeb facility.
  3. Výše uvedené omezení platí po dobu účinnosti Smlouvy dle odst. 19.1 Smlouvy.
  4. Porušení tohoto závazku Poskytovatele se považuje za podstatné porušení Smlouvy.
5. Poskytovatel podpisem této Smlouvy výslovně přebírá povinnosti uvedené v Příloze 9 této Rámcové dohody ve vztahu k finančním sankcím v souvislosti se situací na Ukrajině. Objednatel je oprávněn provést kontrolu plnění povinností uvedených v Příloze 9 této Smlouvy ze strany Poskytovatele.
6. V případech definovaných Přílohou 9 této Smlouvy ve vztahu k poddodavateli je dodavatel povinen v souladu s postupem dle čl. 3.7 této Smlouvy změnit poddodavatele, a to buď z vlastní iniciativy neprodleně po zjištění dané relevantní skutečnosti, či na základě výzvy ze strany Objednatele. V případě, že Poskytovatel bude písemně vyzván Objednatelem ke změně poddodavatele s odkazem na Přílohu 9 této Smlouvy a Poskytovatel tak bez řádného objektivního důvodu neučiní v Objednatelem stanové lhůtě, která nebude kratší než 5 pracovních dnů, je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 25.000 Kč za každý započatý kalendářní den prodlení až do splnění předmětné povinnosti, tj. provedení změny poddodavatele.
7. Poskytovatel prohlašuje, že ke dni uzavření Smlouvy jsou informace uvedené v čestném prohlášení k sankcím proti Rusku a Bělorusku v souvislosti se situací na Ukrajině předloženém v jeho nabídce v rámci zadávacího řízení Veřejné zakázky nebo v Příloze 9 této Smlouvy pravdivé.

V případě prohlášení nepravdivých informací dle tohoto odst. 8.7 vzniká Objednateli nárok na smluvní pokutu ve výši 100.000 Kč za každý takový případ.

Poskytovatel bez zbytečného odkladu, nejpozději však do 5 pracovních dnů, informuje Objednatele o tom, že se dozvěděl o některé z následujících skutečností:
1. Poskytovatel nebo některý z jeho poddodavatelů, který plní nebo bude plnit více než 10 % smluvní ceny, rozhodl o přesunutí svého sídla na území Ruské federace,
2. došlo k takové změně ve struktuře majitelů Poskytovatele nebo některého z jeho poddodavatelů, který plní nebo bude plnit více než 10 % smluvní ceny, která vede k tomu, že je z více než 50 % přímo či nepřímo vlastněn ruským státním příslušníkem, fyzickou či právnickou osobou nebo subjektem či orgánem se sídlem v Rusku,
3. Poskytovatel nebo některý z jeho poddodavatelů, který plní nebo bude plnit více než 10 % smluvní ceny, začal jednat jménem nebo na pokyn ruského státního příslušníka, fyzické či právnické osoby nebo subjektu či orgánu se sídlem v Rusku,
4. osobě, na kterou se vztahují mezinárodní sankce závazné pro Objednatele zakazující vůči takové osobě převod peněžních prostředků¹, vzniklo právo na převod peněžních prostředků, které Poskytovatel obdržel nebo má obdržet od Objednatele za plnění Smlouvy,
5. Poskytovatel se stal osobou, na kterou se vztahují mezinárodní sankce závazné pro Objednatele zakazující vůči takové osobě převod peněžních prostředků²,
6. Poskytovatel nesplňuje podmínky dle Přílohy 9 této Smlouvy.

V případě porušení povinnosti dle tohoto odst. 9.14 vzniká Objednateli nárok na smluvní pokutu ve výši 100.000 Kč za každý takový případ.

CENA A PLATEBNÍ PODMÍNKY
1. Cena Bezpečnostního testování dle Smlouvy a příslušných dílčích smlouvách dle čl. 5 této Smlouvy je stanovena dohodou Smluvních stran na základě Plánu testování jako součin rozsahu poskytnutého plnění Poskytovatele vyjádřeného v MD (člověkoden) jednotlivých rolí a příslušných sazeb za tyto role, které jsou uvedené v Příloze 2 této Smlouvy. V těchto cenách jsou zahrnuty veškeré činnosti dle Smlouvy a příslušné dílčí smlouvy, které je Poskytovatel u povinen poskytnout či provést.
2. Cena bude zaplacena vždy po akceptaci jednotlivých testů a v termínech fakturačních milníků stanovených v Plánu testování dle odst. 5.4 této Smlouvy, a to na základě faktury vystavené Poskytovatelem.
3. Objednatel zaplatí cenu pouze za skutečně řádně provedené Bezpečností testování. Objednatel není povinen vyčerpat Bezpečnostní testování dle odst. 3.1 této Smlouvy v rozsahu, který byl uveden v zadávací dokumentaci Xxxxxxx xxxxxxx. Objednatel je oprávněn, nikoli však povinen, čerpat Bezpečnostní testování nad rozsah uvedený v zadávací dokumentaci Xxxxxxx zakázky, a to za sazby pro jednotlivé role uvedené v Příloze 2 této Smlouvy. Celková cena za Bezpečnostní testování může být za celou dobu účinnosti Smlouvy nejvýše 48 248 702 Kč,- Kč bez DPH.
4. V případě, že index růstu spotřebitelských cen (míra inflace vyjádřená přírůstkem indexu spotřebitelských cen ke stejnému měsíci předchozího roku oznamovaná Českým statistickým úřadem ve Veřejné databázi ČSÚ; dále jen „index“) bude ke dni 30. 6. kalendářního roku trvání Smlouvy představovat procentuální nárůst, je Poskytovatel oprávněn svým jednostranným oznámením zaslaným nejpozději do 15. 8. aktuálního kalendářního roku zvýšit cenu jakékoliv položky uvedené v Příloze 2 Smlouvy – Sazby jednotlivých rolí o procentuální výši odpovídající procentuálnímu nárůstu indexu, avšak maximálně o 3,00 % zvýšení ročně. Příklad: Pokud by v prvním roce trvání Smlouvy byl k 30. 6. zjištěn narůst hodnoty indexu o 2,40 %, ke zvýšení cen všech služeb poskytovaných Poskytovatelem na základě Smlouvy na další rok dojde právě o 2,40 %. Pokud by ve druhém roce byl k témuž datu zjištěn nárůst hodnoty indexu o 3,80 %, potom je Poskytovatel oprávněn navýšit ceny všech poskytovaných služeb poskytovaných na základě Smlouvy o 3,00 % oproti cenám předchozího roku. Posuzuje se tak nárůst cen oproti stejnému měsíci předchozího roku, delší období se nezohledňuje. Jinými slovy, růst spotřebitelských cen vyjádřený hodnotou indexu nad 3,00 % za rok jde k tíži Poskytovatele. Zvýšení ceny je účinné od 1. 1. následujícího kalendářního roku po doručení písemného oznámení o takovémto zvýšení Objednateli. V případě zvýšení cen dotčených služeb je Objednatel oprávněn Smlouvu vypovědět dle podmínek uvedených v čl. 19 této Smlouvy i před uplynutím tam stanovené lhůty.
5. Veškeré zdroje (HW, SW, lidé apod.) potřebné k provedení Bezpečnostního testování jsou nedílnou součástí sazeb za MD pro jednotlivé role, které jsou uvedené v Příloze 2 této Smlouvy.
6. Platební podmínky
  1. Právo fakturovat Předmět plnění dle příslušné dílčí smlouvy vzniká Poskytovateli vždy po akceptaci Výstupu na základě podpisu příslušného předávacího protokolu dle čl. 7 této Smlouvy ze strany Objednatele, a to za podmínek uvedených v čl. 7 této Smlouvy.
  2. Splatnost jednotlivých plateb dle této Smlouvy je stanovena na 30 kalendářních dní od doručení faktury Objednateli. Poskytovatel odešle fakturu Objednateli nejpozději následující pracovní den po vystavení faktury.
  3. Všechny faktury musí splňovat všechny náležitosti daňového dokladu požadované zákonem č. 235/2004 Sb., o dani z přidané hodnoty, ve znění pozdějších předpisů (dále je „zákon o DPH“), avšak výslovně vždy musí obsahovat následující údaje: označení smluvních stran a jejich adresy, IČO, DIČ, údaj o tom, že vystavovatel faktury je zapsán v obchodním rejstříku včetně spisové značky, označení této Smlouvy, označení poskytnutého plnění, číslo faktury, den vystavení a lhůta splatnosti faktury, označení peněžního ústavu a číslo účtu, na který se má platit, fakturovanou částku, razítko a podpis oprávněné osoby. Přílohou faktury bude předávací protokol dle čl. 7 této Smlouvy.
  4. Nebude-li faktura obsahovat stanovené náležitosti či přílohy, nebo v ní nebudou správně uvedené údaje dle této Smlouvy, je Objednatel oprávněn ji vrátit ve lhůtě její splatnosti Poskytovateli. V takovém případě se přeruší běh lhůty splatnosti a nová lhůta splatnosti počne běžet doručením opravené faktury.
  5. Platby se provádí bankovním převodem na účet druhé smluvní strany uvedený ve faktuře.
  6. V případě prodlení kterékoliv smluvní strany se zaplacením peněžité částky vzniká oprávněné straně nárok na úrok z prodlení ve výši jedné setiny procenta (0,01 %) z dlužné částky za každý i započatý den prodlení. Tím není dotčen ani omezen nárok na náhradu vzniklé škody.
  7. Objednatel bude hradit přijaté faktury pouze na bankovní účty Poskytovatele zveřejněné správcem daně způsobem umožňujícím dálkový přístup ve smyslu § 96 odst. 2 zákona o DPH. V případě, že Poskytovatel nebude mít svůj bankovní účet tímto způsobem zveřejněn, uhradí Objednatel Poskytovateli pouze základ daně, přičemž DPH uhradí Poskytovateli až po zveřejnění příslušného účtu Poskytovatele v registru plátců a identifikovaných osob Poskytovatelem.
  8. Poskytovatel prohlašuje, že správce daně před uzavřením této Smlouvy nerozhodl, že Poskytovatel je nespolehlivým plátcem ve smyslu § 106a zákona o DPH (dále jen „nespolehlivý plátce“). V případě, že správce daně rozhodne o tom, že Poskytovatel je nespolehlivým plátcem, zavazuje se Poskytovatel o tomto informovat Objednatele do dvou (2) pracovních dní. Stane-li se Poskytovatel nespolehlivým plátcem, uhradí Objednatel Poskytovateli pouze základ daně, přičemž DPH bude Objednatelem uhrazena Poskytovateli až po písemném doložení Poskytovatele o jeho úhradě této DPH příslušnému správci daně.
7. Bankovní záruka za řádné poskytování Předmětu plnění
  1. Dodavatel je povinen na vlastní náklady obstarat a odevzdat Objednateli před podpisem této Smlouvy originální bankovní záruku za řádné poskytování Předmětu plnění ve výši 2.000.000,- Kč (slovy: dva milióny korun českých). Bankovní záruka nesmí vypršet dříve, než uplyne 12 (slovy: dvanáct) měsíců po skončení doby trvání Smlouvy. Objednatel jako oprávněná osoba bude mít originál bankovní záruky v držení po celou dobu trvání Smlouvy dle předchozí věty.
  2. Bankovní záruka za řádné poskytování Předmětu plnění bude vydána bankou, která byla zřízena a provozuje činnost podle zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů.
  3. Bankovní záruka za řádné poskytování Předmětu plnění musí být sjednána jako bezpodmínečná, znějící na první vyžádání Objednatele a bez námitek. Banka se v této bankovní záruce musí zavázat k zaplacení celé částky na první výzvu Objednatele, pokud Objednatel v této výzvě uvede, že Poskytovatel nesplnil závazky vyplývající z této Smlouvy. Banka není oprávněna zkoumat, je-li výzva Objednatele důvodná. Objednatel je oprávněn nechat si předanou bankovní záruku přezkoumat a schválit od své banky. V případě výhrad banky Objednatele k předložené bankovní záruce je Poskytovatel povinen předložit v dodatečné lhůtě dvou (2) týdnů novou řádnou bankovní záruku za řádné poskytování Předmětu plnění.
  4. Povinnost obstarat bankovní záruku za řádné poskytování Předmětu plnění má Poskytovatel. Veškeré náklady spojené s touto bankovní zárukou za řádné poskytování Předmětu plnění a jejím obstaráním jsou zahrnuty ve smluvní ceně dle této Smlouvy a hradí je Poskytovatel.
  5. Bankovní záruka za řádné poskytování Předmětu plnění slouží k zajištění řádného splnění všech závazků Poskytovatele dle této Smlouvy nebo s touto Smlouvou související, včetně nároků Objednatele na smluvní pokuty, náhradu škody nebo nároků, vzniklých jako důsledek odstoupení. Objednatel je oprávněn požadovat plnění z bankovní záruky za řádné poskytování Předmětu plnění jen na základě písemného oznámení bance, že Poskytovatel nesplnil určitý závazek dle této Smlouvy nebo s touto Smlouvou související a není povinen překládat bance žádné další dokumenty, které by takovéto nesplnění potvrzovaly.
  6. V případě, že Objednatel uplatní nárok na uhrazení konkrétní částky, bude čerpat plnění z bankovní záruky za řádné poskytování Předmětu plnění do výše požadované sumy. Před uplatněním plnění z bankovní záruky za řádné poskytování Předmětu plnění oznámí Poskytovateli písemně důvod a výši požadovaného plnění z titulu bankovní záruky za řádné poskytování Předmětu plnění. V případě jejího čerpání je Poskytovatel povinný poskytnout Objednateli novou bankovní záruku – předložit novou záruční listinu ve znění shodném s předcházející záruční listinou (na původní výši záruky) tak, aby splnil povinnost udržovat bankovní záruku za řádné poskytování Předmětu plnění v souladu s jejími parametry v této Smlouvě, a to nejpozději do čtrnácti (14) dnů ode dne uplatnění práva Objednatelem.
  7. Objednatel je povinen odškodnit Poskytovatele a zabezpečit, aby mu nevznikla žádná újma v důsledku uplatnění nároků z bankovní záruky za řádné poskytování Předmětu plnění v rozsahu, na který Objednatel neměl nárok.
  8. Strany dohody se dohodly, že v případě nepředložení bankovní záruky za řádné poskytování Předmětu plnění ve stanovených lhůtách, nebo v případě jejich předložení ve formě a s obsahem, který bude v rozporu s podmínkami uvedenými v odst. 9.7 této Smlouvy, půjde o podstatné porušení této Smlouvy.
VLASTNICKÉ PRÁVO A UŽÍVACÍ PRÁVA
1. Vzhledem k tomu, že součástí plnění dle této Smlouvy a dílčích smluv je i plnění, které může naplňovat znaky autorského díla ve smyslu zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů (dále jen „autorský zákon“), je k těmto součástem plnění poskytována licence za podmínek sjednaných dále v tomto článku Smlouvy.
2. Objednatel je oprávněn veškeré výstupy dle této Smlouvy a dílčích smluv považované za autorské dílo ve smyslu autorského zákona (dále jen „autorská díla“) užívat dle níže uvedených podmínek.
  1. Objednatel je oprávněn od okamžiku účinnosti poskytnutí licence k autorskému dílu dle odst. 10.2.3 této Smlouvy užívat toto autorské dílo k jakémukoliv účelu a v rozsahu, v jakém uzná za nezbytné, vhodné či přiměřené. Pro vyloučení pochybností to znamená, že Objednatel je oprávněn užívat autorské dílo v neomezeném množstevním a územním rozsahu, a to všemi v úvahu přicházejícími způsoby a s časovým rozsahem omezeným pouze dobou trvání majetkových autorských práv k takovémuto autorskému dílu. Součástí licence je neomezené oprávnění Objednatele provádět jakékoliv modifikace, úpravy, změny autorského díla tvořícího výsledky plnění dle této Smlouvy a dle svého uvážení do něj zasahovat, zapracovávat ho do dalších autorských děl, zařazovat ho do děl souborných či do databází apod., a to i prostřednictvím třetích osob. Objednatel je bez potřeby jakéhokoliv dalšího svolení Poskytovatele oprávněn udělit třetí osobě podlicenci k užití autorského díla nebo svoje oprávnění k užití autorského díla třetí osobě postoupit. Licence k autorskému dílu je poskytována jako neomezená nevýhradní. Objednatel není povinen licenci využít.
  2. V případě Korelací a pravidel se licence vztahuje ve stejném rozsahu na autorské dílo ve strojovém i zdrojovém kódu, jakož i koncepční přípravné materiály.
  3. Poskytovatel touto Smlouvou poskytuje Objednateli licenci k autorským dílům dle odst. 10.2.1 této Smlouvy, přičemž účinnost této licence nastává okamžikem akceptace výsledku dle této Smlouvy, která příslušné autorské dílo obsahuje; do té doby je Objednatel oprávněn autorské dílo užít v rozsahu a způsobem nezbytným k provedení akceptace příslušné součásti výsledku plnění dle této Smlouvy.
  4. Udělení licence nelze ze strany Poskytovatele vypovědět a její účinnost trvá i po skončení účinnosti této Smlouvy, nedohodnou-li se Smluvní strany výslovně jinak.
  5. Smluvní strany výslovně prohlašují, že pokud při poskytování plnění dle této Smlouvy vznikne činností Poskytovatele a Objednatele dílo spoluautorů a nedohodnou-li se smluvní strany výslovně jinak, bude se mít za to, že je Objednatel oprávněn vykonávat majetková autorská práva k dílu spoluautorů tak, jako by byl jejich výlučným vykonavatelem a že Poskytovatel udělil Objednateli souhlas k jakékoliv změně nebo jinému zásahu do díla spoluautorů. Cena plnění dle čl. 9 této Smlouvy je stanovena se zohledněním tohoto ustanovení a Poskytovateli nevzniknou v případě vytvoření díla spoluautorů žádné nové nároky na odměnu.
  6. Poskytovatel je povinen postupovat tak, aby udělení licence k autorskému dílu dle této Smlouvy včetně oprávnění udělit podlicenci a souvisejících oprávnění zabezpečil, a to bez újmy na právech třetích osob.
  7. Součástí výsledku plnění dle této Smlouvy může být tzv. standardní software anebo tzv. open source software (dále společně také jen „standardní software“), u kterého Poskytovatel nemůže udělit Objednateli oprávnění dle předchozích ustanovení tohoto odst. 10.2 této Smlouvy nebo to po něm nelze spravedlivě požadovat (pro vyloučení veškerých pochybností smluvní strany uvádí, že v případě, kdy je vývoj software hrazen Objednatelem, může Objednatel vždy požadovat udělení oprávnění dle předchozích ustanovení tohoto odst. 10.2 této Smlouvy), pouze při splnění některé z následujících podmínek:
    1. Jedná se o software výrobců, jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi na sobě nezávislými a vzájemně nepropojenými subjekty oprávněnými takovýto software upravovat, a který je v době uzavření této Smlouvy prokazatelně užíván v produktivním prostředí nejméně u deseti na sobě nezávislých a vzájemně nepropojených subjektů. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
    2. Jedná se o software, jenž je na trhu běžně dostupný, tj. nabízený na území České republiky alespoň třemi na sobě nezávislými a vzájemně nepropojenými subjekty, který je v době uzavření Smlouvy prokazatelně užíván v produktivním prostředí nejméně u deseti na sobě nezávislých a vzájemně nepropojených subjektů, a k němuž není poskytnutí licence v rozsahu dle předchozích ustanovení odst. 10.2 této Smlouvy účelné a nebrání dalšímu rozvoji ze strany Objednatele (zejména vývojový software, integrační software, software typu “software factory“, databázový software aj.). Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
    3. Jedná se o software, který je veřejnosti poskytován zdarma, včetně detailně komentovaných zdrojových kódů, úplné uživatelské, provozní a administrátorské dokumentace a práva software měnit. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
    4. Jedná se o software, u kterého Poskytovatel poskytne s ohledem na jeho (i) marginální význam, (ii) nekomplikovanou propojitelnost či (iii) oddělitelnost a nahraditelnost bez nutnosti vynakládání výraznějších prostředků, písemnou garanci, že další rozvoj Bezpečnostního testování jinou osobou než Poskytovatelem je možné provádět bez toho, aby tím byla dotčena práva autorů takovéhoto softwaru, neboť nebude nutné zasahovat do zdrojových kódů takovéhoto softwaru anebo proto, že případné nahrazení takovéhoto softwaru nebude představovat výraznější komplikaci a náklad na straně Objednatele. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
    5. Jedná se o software, jehož API (Application Programming Interface) pokrývá všechny moduly a funkcionality software, je dobře dokumentované, umožňuje zapouzdření software a jeho adaptaci v rámci měnících se podmínek IT prostředí Objednatele bez nutnosti zásahu do zdrojových kódů softwaru, a Poskytovatel poskytne Objednateli právo užít toto rozhraní pro programování aplikací ve stejném rozsahu jako software. Poskytovatel je povinen poskytnout Objednateli o této skutečnosti písemné prohlášení a na výzvu Objednatele tuto skutečnost prokázat.
    6. Poskytovatel se zaváže Objednateli po ukončení implementace na písemnou výzvu Objednatele nejpozději do 30 dnů poskytnout (i) úplné komentované zdrojové kódy softwaru a bezpodmínečné právo software měnit nebo (ii) API (Application Programming Interface), které pokrývá všechny moduly a funkcionality softwaru, je dobře dokumentované, umožňuje zapouzdření softwaru a jeho adaptaci v rámci měnících se podmínek IT prostředí Objednatele bez nutnosti zásahu do zdrojových kódů softwaru, a právo užít toto rozhraní pro programování aplikací ve stejném rozsahu jako software. Poskytovatel je povinen na výzvu Objednatele tuto skutečnost prokázat.

V případě že Poskytovatel poruší povinnost či prohlášení dle tohoto odstavce 10.2.7 Smlouvy, je Objednatel oprávněn požadovat úhradu smluvní pokuty ve výši 20.000,- Kč za každý jednotlivý případ a náhradu škody v plné výši.

Pokud se bude jednat o standardní software Poskytovatele nebo třetích stran dle odst. 10.2.7 této Smlouvy, tak na rozdíl od licence ke zbývajícím výstupům z Bezpečnostního testování udělované dle odst. 10.2.1 až 10.2.6 této Smlouvy postačí, aby udělená licence k takovému software zahrnovala nevýhradní oprávnění užít jej jakýmkoli způsobem nejméně po dobu trvání této Smlouvy a po jejím skončení až do uplynutí 1 kalendářního roku po roku, ve kterém skončila účinnost této Smlouvy na území České republiky a v množstevním rozsahu, který je nezbytný pro pokrytí potřeb Objednatele stanovených touto Smlouvou, a to včetně práva Objednatele do standardního software zasahovat, pokud tak stanoví příslušné ustanovení odst. 10.2.7 této Smlouvy. V případě výpovědi či odstoupení od Xxxxxxx se Poskytovatel zavazuje nabídnout Objednateli právo užívat takovýto standardní software v rozsahu, v jakém je to nezbytné pro poskytování Bezpečnostního testování dle této Smlouvy. Tím není dotčeno právo Objednatele pořídit standardní software i od třetí osoby bez ohledu na licence pořízené dříve Poskytovatelem. V případě využití tohoto přednostního práva se Poskytovatel zavazuje, že právo užívat standardní software dle tohoto odstavce Smlouvy nabídne Objednateli za běžných tržních podmínek a bude vycházet z účetní hodnoty licencí, které pořídil.
Nelze-li to na Poskytovateli spravedlivě požadovat a není-li to v rozporu s ustanoveními odst. 10.2.7 této Smlouvy, nemusí být Objednateli k standardnímu softwaru předány zdrojové kódy a stejně tak nemusí být poskytnuto právo Objednatele do standardního softwaru zasahovat, vždy však musí být předána kompletní Dokumentace.
Poskytovatel je povinen ve svých řešeních pro Objednatele omezit využití takového standardního softwaru, který je co do licence omezen ve smyslu odst. 10.2.8 nebo odst. 10.2.9 této Smlouvy.
Poskytovatel se zavazuje samostatně zdokumentovat veškeré využití standardního software v rámci výsledků plnění dle této Smlouvy a předložit Objednateli ucelený přehled využitého standardního software, jeho licenčních podmínek a alternativních dodavatelů.
Jestliže jsou s užitím standardního software, služeb podpory k němu, či jiných souvisejících plnění spojeny jednorázové či pravidelné poplatky, je Poskytovatel povinen v rámci ceny plnění dle této Smlouvy řádně uhradit všechny tyto poplatky za celou dobu trvání Smlouvy a za období po jejím skončení až do uplynutí 1 kalendářního roku po roku, ve kterém skončila účinnost této Smlouvy.

Práva získaná v rámci plnění této Smlouvy přechází i na případného právního nástupce Objednatele. Případná změna v osobě Poskytovatele (např. právní nástupnictví) nebude mít vliv na oprávnění udělená v rámci této Smlouvy Poskytovatelem Objednateli.
Odměna za poskytnutí, zprostředkování nebo postoupení licence (či podlicence) k autorským dílům je zahrnuta v ceně plnění dle této Smlouvy. Poskytovatel je vždy povinen zajistit poskytnutí licence dle podmínek stanovených Smlouvou, a to bez ohledu na případný rozdílný obsah standardních licenčních podmínek vykonavatele majetkových práv k takovým autorským dílům.

ZÁRUKA
1. Poskytovatel poskytuje záruku, že každá část výsledku plnění dle této Smlouvy a dílčí smlouvy má ke dni její akceptace funkční vlastnosti stanovené touto Smlouvou a dílčí smlouvou, zejména v Technické specifikaci, a je způsobilá k použití pro účely stanovené v této Smlouvě nebo v souladu s touto Smlouvou a dílčí smlouvou.
2. Poskytovatel poskytuje záruku za jakost každé jednotlivé části výsledku plnění dle této Smlouvy a dílčí smlouvy od okamžiku její akceptace po dobu 24 měsíců od akceptace výsledku plnění dle příslušné dílčí smlouvy jako celku. Tato záruka se prodlužuje po každém rozšíření výsledku plnění dle příslušné dílčí smlouvy realizovaném formou Doplňkových služeb tak, že bude trvat až do uplynutí 24 měsíců ode dne akceptace takového rozšíření či úpravy provedené v rámci Doplňkových služeb.
3. Objednatel je oprávněn vady výsledku plnění dle příslušné dílčí smlouvy nahlásit Poskytovateli kdykoli v průběhu záruční doby bez ohledu na to, kdy je zjistil, aniž by tím byla jeho práva ze záruky či práva z vad jakkoli dotčena.
4. Doba od zjištění vady do jejího odstranění se do trvání záruční doby nezapočítává.
5. Poskytovatel prohlašuje, že veškeré jeho plnění dodané podle příslušné dílčí smlouvy bude prosté právních vad a zavazuje se odškodnit v plné výši Objednatele v případě, že třetí osoba úspěšně uplatní autorskoprávní nebo jiný nárok plynoucí z právní vady poskytnutého plnění. V případě, že by nárok třetí osoby vzniklý v souvislosti s plněním Poskytovatele podle této Smlouvy a dílčí smlouvy, bez ohledu na jeho oprávněnost, vedl k dočasnému či trvalému soudnímu zákazu či omezení užívání výstupů z Bezpečnostního testování či jeho části, zavazuje se Poskytovatel zajistit náhradní služby a minimalizovat dopady takovéto situace, a to bez dopadu na cenu plnění sjednanou podle této Smlouvy, přičemž současně nebudou dotčeny ani nároky Objednatele na náhradu škody.
6. Poskytovatel prohlašuje, že je oprávněn vykonávat svým jménem a na svůj účet majetková práva autorů k autorským dílům, která budou součástí plnění podle této Xxxxxxx, resp. že má souhlas všech relevantních třetích osob k poskytnutí licence k autorským dílům podle čl. 10 této Smlouvy; toto prohlášení zahrnuje i taková práva, která by vytvořením autorského díla teprve vznikla.
OPRÁVNĚNÉ OSOBY
1. Každá ze smluvních stran jmenuje oprávněné osoby, popř. zástupce oprávněných osob. Oprávněné osoby budou zastupovat smluvní stranu ve smluvních a technických záležitostech souvisejících s plněním této Smlouvy. Pro vyloučení pochybností se smluvní strany dohodly, že:
  1. osoby oprávněné jednat v záležitostech smluvních jsou oprávněny vést s druhou smluvní stranou jednání jiného charakteru a měnit či rušit tuto Smlouvu a uzavírat k ní dodatky dle odst. 21.1 této Smlouvy;
  2. osoby oprávněné v záležitostech technických jsou oprávněny vést s druhou stranou jednání technického charakteru, jednat při sestavování Zadání a Plánu testování dle čl. 5 této Smlouvy, změnového řízení dle čl. 6 této Smlouvy, jednat v rámci akceptačních procedur při předávání a převzetí plnění dle čl. 7 této Smlouvy, zejména odsouhlasovat Plány testování, podepisovat příslušné akceptační, předávací či jiné protokoly dle této Smlouvy; osoby oprávněné v záležitostech technických však nejsou oprávněny tuto Smlouvu měnit či rušit ani k ní uzavírat dodatky dle odst. 21.1 této Smlouvy;
2. Oprávněné osoby dle odst. 12.1.2 této Smlouvy jsou oprávněny jménem smluvních stran provádět veškeré úkony v rámci akceptačních procedur dle této Smlouvy a připravovat dodatky ke Smlouvě pro jejich písemné schválení osobám oprávněným zavazovat strany (statutárním orgánům), nebo jejich zplnomocněným zástupcům.
3. Oprávněné osoby dle odst. 12.1.2 této Smlouvy nejsou zmocněny k jednání, jež by mělo za přímý následek změnu této Smlouvy nebo jejího předmětu.
4. Jména oprávněných osob jsou uvedena v Příloze 4 této Smlouvy a jejich role stanoví tato Smlouva.
5. Smluvní strany jsou oprávněny změnit oprávněné osoby, jsou však povinny na takovou změnu druhou smluvní stranu písemně upozornit. Zmocnění zástupce oprávněné osoby musí být písemné s uvedením rozsahu zmocnění.
OCHRANA OSOBNÍCH ÚDAJŮ

Předmět zpracování, kategorie subjektů údajů a typ osobních údajů

S ohledem na předmět této Smlouvy smluvní strany předpokládají, že Poskytovatel bude zpracovávat osobní údaje nebo zvláštní kategorie osobních údajů (citlivé údaje) (dále společně jen „osobní údaje“) obsažené v datech koncových uživatelů monitorovaného prostředí ICT Objednatele (dále jen „koncoví uživatelé“). Nedílnou součástí Smlouvy je tak i ujednání o zpracování osobních údajů mezi Objednatelem jako správcem a Poskytovatelem jako zpracovatelem, uvedené níže v tomto čl. 13 této Smlouvy.
Podrobněji jsou předmět zpracování, kategorie subjektů údajů, typ osobních údajů a rozsah zpracování osobních údajů popsány v Technické specifikaci.

Povaha, účel a prostředky zpracování

Poskytovatel zpracovává osobní údaje automatizovanými prostředky, a to za účelem poskytování Předmětu plnění, případně za dalšími účely, které vyplývají z této Smlouvy a jejích příloh.

Doba zpracování

Zpracování osobních údajů bude ze strany Poskytovatele probíhat po dobu účinnosti Smlouvy. Povinnosti Poskytovatele týkající se ochrany osobních údajů se Poskytovatel zavazuje plnit po celou dobu účinnosti Smlouvy, pokud z ustanovení Smlouvy nevyplývá, že mají trvat i po zániku její účinnosti.

Obecné zásady zpracování osobních údajů

Poskytovatel se zavazuje dodržovat všechny povinnosti, které mu jako zpracovateli vyplývají z právních předpisů o ochraně osobních údajů, jakož i z interních předpisů Objednatele a rozhodnutí či doporučení nebo stanovisek vydaných pro Objednatele příslušným orgánem státní správy, s nimiž byl seznámen, a to včetně rozhodnutí či stanovisek nebo doporučení vydaných v budoucnu.
Poskytovatel v souvislosti se zpracováním osobních údajů:
1. zpracovává osobní údaje výlučně na základě pokynů Objednatele učiněných v souladu se zásadami komunikace dle této Smlouvy, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Unie nebo členského státu, které se na Objednatele vztahuje; v takovém případě Poskytovatel Objednatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
2. v případě, kdy je ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu provedena kontrola zpracování osobních údajů Poskytovatelem či v případě zahájení správního řízení ze strany Úřadu pro ochranu osobních údajů či jiného správního orgánu ve vztahu k zpracování osobních údajů Poskytovatelem, oznámí tuto skutečnost okamžitě Objednateli a poskytne mu veškeré informace o průběhu a výsledcích této kontroly, resp. průběhu a výsledcích takového řízení;
3. poskytne Objednateli součinnost při komunikaci s dozorovým orgánem a dle pokynů Objednatele bude spolupracovat při přípravě odpovědí dozorovému úřadu ohledně činností prováděných Poskytovatelem;
4. nezpracovává osobní údaje získané za účelem plnění této Smlouvy pro své vlastní účely;
5. nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Objednatele;
6. zohledňuje povahu zpracování,
7. je Objednateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Objednatelovy povinnosti reagovat na žádosti o výkon práv koncových uživatelů;
8. je Objednateli nápomocen při zajišťování souladu s povinnostmi Objednatele zajistit úroveň zabezpečení zpracování a ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu a případně též koncovým uživatelům, posuzovat vliv na ochranu osobních údajů (výstupem tohoto posouzení bude poskytnutí podkladových materiálů a vlastních odborných vyjádření) a realizovat předchozí konzultace s dozorovým úřadem, a to při zohlednění povahy zpracování a informací, jež má Poskytovatel k dispozici;
9. v souladu s rozhodnutím Objednatele všechny osobní údaje buď vymaže, nebo vrátí Objednateli, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
10. poskytne Objednateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku Smlouvy, a umožní audity, včetně inspekcí, prováděné Objednatelem nebo jiným auditorem, kterého Objednatel pověřil, a k těmto auditům přispěje;
11. není oprávněn osobní údaje koncových uživatelů jím zpracovávané či k nimž mu byl umožněn přístup žádným způsobem ukládat, kopírovat, tisknout, opisovat, činit z nich výpisky či opisy či je pozměňovat, pokud toto není nezbytné pro plnění jeho povinností dle této Smlouvy;
12. umožní Objednateli na vyžádání kontrolu dodržování povinností dle tohoto čl. 13.6 Smlouvy, zejména přístupy do prostor, v nichž jsou osobní údaje uchovávány, předložení seznamu osob s přístupem k osobním údajům či doložení, že veškeré osoby přistupující k osobním údajům splňují požadavky pověřené osoby, jak je tato definována níže;
13. umožní Objednateli přístup do informačního systému užívaného pro zpracování a k probíhajícím operacím zpracování;

přičemž činnosti Poskytovatele dle odst. 13.6.7, 13.6.8 a 13.6.10 této Smlouvy budou hrazeny stejně jako provedení Bezpečnostního testování dle čl. 9 této Smlouvy a příslušných příloh, a to dle objednávek Objednatele a skutečně provedených činností; v případě, že některé žádosti se rozhodne Objednatel provádět samostatně, nevznikne ve vztahu k nim Poskytovateli právo na úhradu. Pro vyloučení pochybností Smluvní strany sjednávají, že Objednatel není povinen poptat tyto služby vůbec.

V souvislosti se zpracováním osobních údajů vede Poskytovatel v souladu s právními předpisy o ochraně osobních údajů záznamy o všech kategoriích činností zpracování prováděných pro Objednatele, jež obsahují zejména:
1. jméno a kontaktní údaje Poskytovatele, Objednatele a případného zástupce Objednatele nebo Poskytovatele a pověřence pro ochranu osobních údajů;
2. kategorie zpracování prováděného pro Objednatele;
3. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a
4. popis technických a organizačních bezpečnostních opatření.

Poskytovatel se na základě písemné výzvy Objednatele zavazuje Objednateli vedené záznamy zpřístupnit.

Poskytovatel zajišťuje, kontroluje a odpovídá za
1. plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
2. zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
3. zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a
4. opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
V případě, že je podle právních předpisů o ochraně osobních údajů vyžadováno jakékoli oznámení nebo jiný úkon vůči správnímu orgánu, upozorní na tuto skutečnost Poskytovatel Objednatele v dostatečném předstihu a v případě, že tím Objednatel Poskytovatele pověří a zmocní, zajistí provedení těchto úkonů.
Pokud Poskytovatel zjistí, že Objednatel porušuje povinnosti podle právních předpisů o ochraně osobních údajů, je povinen jej na to neprodleně upozornit.
Vznikne-li Objednateli v důsledku nesplnění povinnosti Poskytovatele dle právních předpisů o ochraně osobních údajů újma (škoda i nemajetková újma), zavazuje se Poskytovatel Objednateli tuto újmu v plném rozsahu nahradit. Újmou vzniklou Objednateli se pro účely tohoto ustanovení rozumí zejména (i) náhrada újmy (škody i nemajetkové újmy) subjektům údajů ve smyslu právních předpisů o ochraně osobních údajů a (ii) pokuty uložené Úřadem pro ochranu osobních údajů či jiným správním úřadem.
V případě ukončení této Smlouvy je Poskytovatel povinen předat Objednateli protokolárně veškeré hmotné nosiče obsahující osobní údaje a smazat veškeré osobní údaje v elektronické podobě v jeho dispozici, neobdrží-li Poskytovatel od Objednatele písemně jiné pokyny, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů.

Pověření Poskytovatele k poskytování součinnosti Objednateli

Poskytovatel je povinen proaktivně poskytovat součinnost Objednateli při výkonu jeho povinností týkajících se práv koncových uživatelů jakožto subjektů údajů, popř. tyto činnosti z části zajistit, a to v následujícím rozsahu:
1. přijetí žádostí a jejich celková administrace;
2. ověření identity koncového uživatele;
3. případná kalkulace ceny za vyřízení žádosti (např. pokud se bude jednat o opakovanou žádost);
4. prvotní odborné posouzení žádosti;
5. přeposlání žádosti a návrhu jejího vypořádání Objednateli k potvrzení navrhovaného řešení či k vyřešení žádosti;
6. následné vyřízení žádosti jménem Objednatele;
7. v případě, že žádost vyžaduje určitou konkrétní operaci, provedení této operace.
V rámci provádění činností dle odst. 13.13 této Smlouvy je Poskytovatel povinen postupovat tak, aby mohl Objednatel ověřit kvalitu navrhovaného vyřízení požadavků subjektu údajů, a to zejména s ohledem na čas potřebný k tomuto ověření. Smluvní strany sjednávají, že nejkratší doba, kterou musí Objednatel mít k dispozici pro tento účel, je 5 pracovních dnů.
Činnosti dle odst. 13.13 této Smlouvy budou hrazeny stejně jako provedení Bezpečnostního testování dle čl. 9 této Smlouvy a příslušných příloh, a to dle objednávek Objednatele a skutečně provedených činností; v případě, že některé žádosti se rozhodne Objednatel provádět samostatně, nevznikne ve vztahu k nim Poskytovateli právo na úhradu. Pro vyloučení pochybností Smluvní strany sjednávají, že Objednatel není povinen poptat tyto služby vůbec.
Činnosti dle odst. 13.13 této Smlouvy se vztahují k následujícím právům subjektů údajů:
1. Právo na přístup k osobním údajům. Poskytovatel bude navrhovat odpovědi na přijaté žádosti a tyto odpovědi po potvrzení ze strany Objednatele odesílat koncovým uživatelům. Součástí těchto odpovědí budou v řadě případů i konkrétní osobní údaje vztahující se ke koncovému uživateli subjektu údajů, k jejichž kopii bude nutno koncovému uživateli umožnit přístup;
2. Právo na opravu. Poskytovatel bude vyřizovat žádosti o opravu a informovat o tom koncového uživatele. V případě, že žádost o opravu nebude jednoznačná co do nové požadované verze obsahu záznamu o koncovém uživateli, bude Poskytovatel tuto skutečnost eskalovat k Objednateli; v opačném případě lze Poskytovatele pověřit proaktivním řešením žádosti s tím, že Objednatele bude jen průběžně informovat;
3. Práva na výmaz a omezení zpracování. V případě, že žádost nevzbuzuje pochybnosti o její oprávněnosti, Objednatel Poskytovatele pověřuje prováděním požadovaných výmazů či zaznamenávání omezení zpracování a následnou komunikací se subjektem údajů. O provedených opatřeních bude Poskytovatel informovat Objednatele. V případě, že žádost vzbuzuje pochybnosti o její oprávněnosti je Poskytovatel povinen provést eskalaci věci k Objednateli a poskytnout mu nezbytnou součinnost;
4. Právo na přenositelnost údajů. V případě, že žádost nevzbuzuje pochybnosti o její oprávněnosti, Objednatel Poskytovatele pověřuje exportováním zpracovávaných údajů a jejich zasíláním koncovému uživateli. O výsledku bude Poskytovatel informovat Objednatele. V případě, že žádost vzbuzuje pochybnosti o její oprávněnosti je Poskytovatel povinen provést eskalaci věci k Objednateli a poskytnout mu nezbytnou součinnost;
5. Právo vznést námitku. Poskytovatel je povinen provádět administraci žádosti a technickou realizaci blokování údajů, a to na základě pokynu Objednatele, v jehož kompetenci je vždy posouzení důvodnosti námitky.

Zabezpečení osobních údajů

Poskytovatel přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
Poskytovatel je povinen zajistit, že přístup k osobním údajům bude umožněn výlučně pověřeným osobám, které budou v pracovněprávním, příkazním či jiném obdobném poměru k Poskytovateli, budou předem prokazatelně seznámeny s povahou osobních údajů a rozsahem a účelem jejich zpracování a budou povinny zachovávat mlčenlivost o všech okolnostech, o nichž se dozví v souvislosti se zpřístupněním osobních údajů a jejich zpracováním (dále jen „pověřené osoby“). Splnění této povinností zajistí Poskytovatel vhodným způsobem, zejména vydáním svých vnitřních předpisů, příp. prostřednictvím zvláštních smluvních ujednání. Přístup k osobním údajům bude pověřeným osobám umožněn výlučně pro účely zpracování osobních údajů v rozsahu a za účelem stanoveným touto Smlouvou.
Poskytovatel dále vhodným způsobem zajistí, že pověřené osoby budou zpracovávat osobní údaje na základě smlouvy s Poskytovatelem, budou zpracovávat osobní údaje pouze za podmínek a v rozsahu Poskytovatelem stanoveném a odpovídajícím této Smlouvě uzavírané mezi Poskytovatelem a Objednatelem a právními předpisy, zejména zajistí zachování mlčenlivosti o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i pro dobu po skončení zaměstnání nebo příslušných prací pověřených osob.
Poskytovatel přijal a udržuje zejména následující opatření k zajištění úrovně zabezpečení:
1. zajištění toho, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze pověřené osoby;
2. zajištění toho, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
3. pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány;
4. zabránění neoprávněnému přístupu k datovým nosičům;
5. schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování – zavedená opatření a jejich korektní fungování budou pravidelně kontrolovány;
6. schopnost obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;
7. proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
8. antivirovou ochranu a kontrolu neoprávněných přístupů;
9. šifrovaný přenos dat prostřednictvím IT technologií;
10. přístup k osobním údajům mají pouze pověřené osoby Poskytovatele;
11. servery s osobními údaji jsou uzamčeny v serverovně.
Při zpracování osobních údajů budou osobní údaje uchovávány výlučně na zabezpečených serverech nebo na zabezpečených nosičích dat, jedná-li se o osobní údaje v elektronické podobě.
Při zpracování osobních údajů v jiné než elektronické podobě budou osobní údaje uchovány v místnostech s náležitou úrovní zabezpečení, do kterých budou mít přístup výlučně pověřené osoby.
Poskytovatel se zavazuje na písemnou žádost Objednatele přijmout v přiměřené lhůtě stanovené Objednatelem další záruky za účelem technického a organizačního zabezpečení osobních údajů, zejména přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům.
V případě zjištění porušení záruk dle odst. 13.18 této Smlouvy je Poskytovatel povinen zajistit stav odpovídající zárukám neprodleně poté, co zjistí, že záruky porušuje, nejpozději však do 3 pracovních dnů poté, co je k tomu Objednatelem vyzván.
V případě, že Poskytovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu, nejpozději do 24 hodin, Objednateli.

OCHRANA INFORMACÍ

Smluvní strany jsou si vědomy toho, že v rámci plnění závazků z této Smlouvy:
1. mohou si vzájemně vědomě nebo opominutím poskytnout informace, které budou považovány za důvěrné (dále jen „důvěrné informace“),
2. mohou jejich zaměstnanci a osoby v obdobném postavení získat vědomou činností druhé strany nebo i jejím opominutím přístup k důvěrným informacím druhé strany.
Smluvní strany se zavazují, že žádná z nich nezpřístupní třetí osobě důvěrné informace, které při plnění této Smlouvy získala od druhé smluvní strany.
Za třetí osoby podle odst. 14.2 této Smlouvy se nepovažují:
1. zaměstnanci smluvních stran a osoby v obdobném postavení,
2. orgány smluvních stran a jejich členové,
3. ve vztahu k důvěrným informacím Objednatele poddodavatelé Poskytovatele,
4. ve vztahu k důvěrným informacím Poskytovatele externí dodavatelé Objednatele, a to i potenciální,

za předpokladu, že se podílejí na plnění této Smlouvy nebo na plnění spojeném s plněním dle této Smlouvy, důvěrné informace jsou jim zpřístupněny výhradně za tímto účelem a zpřístupnění důvěrných informací je v rozsahu nezbytně nutném pro naplnění jeho účelu a za stejných podmínek, jaké jsou stanoveny smluvním stranám v této Smlouvě.

Veškeré informace poskytnuté Objednatelem Poskytovateli se považují za důvěrné, není-li stanoveno jinak. Veškeré informace poskytnuté Poskytovatelem Objednateli se považují za důvěrné, pouze pokud na jejich důvěrnost Poskytovatel Objednatele předem písemně upozornil a objednatel Poskytovateli písemně potvrdil svůj závazek důvěrnost těchto informací zachovávat. Pokud jsou důvěrné informace Poskytovatele poskytovány v písemné podobě anebo ve formě textových souborů na elektronických nosičích dat (médiích), je Poskytovatel povinen upozornit Objednatele na důvěrnost takového materiálu též jejím vyznačením alespoň na titulní stránce nebo přední straně média.
Veškeré důvěrné informace zůstávají výhradním vlastnictvím předávající strany a přijímající strana vyvine pro zachování jejich důvěrnosti a pro jejich ochranu stejné úsilí, jako by se jednalo o její vlastní důvěrné informace. S výjimkou rozsahu, který je nezbytný pro plnění této Smlouvy, se obě strany zavazují neduplikovat žádným způsobem důvěrné informace druhé strany, nepředat je třetí straně ani svým vlastním zaměstnancům a zástupcům s výjimkou těch, kteří s nimi potřebují být seznámeni, aby mohli plnit tuto Smlouvu. Obě strany se zároveň zavazují nepoužít důvěrné informace druhé strany jinak než za účelem plnění této Smlouvy.
Bez ohledu na výše uvedená ustanovení se veškeré informace vztahující se k předmětu této Smlouvy a příslušné dokumentaci považují výlučně za důvěrné informace Objednatele a Poskytovatel je povinen tyto informace chránit v souladu s touto Smlouvou. Poskytovatel při tom bere na vědomí, že povinnost ochrany těchto informací podle tohoto článku se vztahuje pouze na Poskytovatele.
Za důvěrné informace Objednatele se dále bezpodmínečně považují veškerá data, která monitorované prostředí ICT Objednatele obsahuje, která do něj mají být, byla nebo budou Poskytovatelem, Objednatelem či třetími osobami vložena i data, která z něj byla získána.
Bez ohledu na výše uvedená ustanovení se za důvěrné nepovažují informace, které:
1. se staly veřejně známými, aniž by jejich zveřejněním došlo k porušení závazků přijímající smluvní strany či právních předpisů,
2. měla přijímající strana prokazatelně legálně k dispozici před uzavřením této Smlouvy, pokud takové informace nebyly předmětem jiné, dříve mezi smluvními stranami uzavřené smlouvy o ochraně informací,
3. jsou výsledkem postupu, při kterém k nim přijímající strana dospěje nezávisle a je to schopna doložit svými záznamy nebo důvěrnými informacemi třetí strany,
4. po podpisu této Xxxxxxx poskytne přijímající straně třetí osoba, jež není omezena v takovém nakládání s informacemi,
5. je-li zpřístupnění informace vyžadováno zákonem či jiným právním předpisem včetně práva EU nebo závazným rozhodnutím oprávněného orgánu veřejné moci,
6. jsou obsažené ve Smlouvě a/nebo jsou zveřejněné na příslušných webových stránkách dle § 219 ZZVZ.
Za důvěrné informace se ve smyslu odst. 14.8.5 této Smlouvy zejména nepovažují:
1. ustanovení této Smlouvy včetně jejích příloh,
2. sazby jednotlivých rolí a výše ceny uhrazené za plnění dle této Smlouvy v jednotlivém kalendářním roce.
Bez ohledu na jiná ustanovení této Smlouvy je Objednatel oprávněn uveřejnit na příslušných webových stránkách v souladu s § 219 ZZVZ:
1. tuto Smlouvu včetně všech jejích změn a dodatků,
2. výši skutečně uhrazené ceny za plnění Xxxxxxx xxxxxxx.
Za porušení povinnosti mlčenlivosti smluvní stranou se považují též případy, kdy tuto povinnost poruší kterákoliv z osob uvedených v odst. 14.3 této Smlouvy, které daná smluvní strana poskytla důvěrné informace druhé smluvní strany.
Poruší-li Poskytovatel povinnosti vyplývající z této Smlouvy ohledně ochrany důvěrných informací, je povinen zaplatit Objednateli smluvní pokutu ve výši 500.000,- Kč za každé porušení takové povinnosti.
Ukončení účinnosti této Smlouvy z jakéhokoliv důvodu se nedotkne ustanovení tohoto článku Smlouvy a jejich účinnost včetně ustanovení o sankcích přetrvá bez omezení i po ukončení účinnosti této Smlouvy.

SOUČINNOST A VZÁJEMNÁ KOMUNIKACE
1. Smluvní strany se zavazují vzájemně spolupracovat a předávat si veškeré informace potřebné pro řádné plnění svých závazků. Smluvní strany jsou povinny informovat druhou smluvní stranu o veškerých skutečnostech, které jsou nebo mohou být důležité pro řádné plnění této Smlouvy.
2. Smluvní strany jsou povinny plnit své závazky vyplývající z této Smlouvy tak, aby nedocházelo k prodlení s plněním jednotlivých termínů a s prodlením splatnosti jednotlivých peněžních závazků.
3. Veškerá komunikace mezi smluvními stranami bude probíhat prostřednictvím oprávněných osob dle čl. 12 této Smlouvy, statutárních orgánů smluvních stran, popř. jimi písemně pověřených pracovníků.
4. Všechna oznámení mezi smluvními stranami, která se vztahují k této Smlouvě, nebo která mají být učiněna na základě této Smlouvy, musí být učiněna v písemné podobě a druhé straně doručena buď osobně nebo doporučeným dopisem či jinou formou registrovaného poštovního styku na adresu uvedenou na titulní stránce této Smlouvy, není-li stanoveno nebo mezi smluvními stranami dohodnuto jinak. Nemá-li komunikace dle předchozí věty mít vliv na platnost a účinnost Smlouvy, připouští se též doručení prostřednictvím datové schránky nebo e-mailu na čísla a adresy uvedené v Příloze 6 této Smlouvy. Pro vyloučení pochybností se smluvní strany dohodly, že prostřednictvím e-mailu lze doručit zejména připomínky, výhrady či výzvy v souladu s ustanoveními čl. 7 této Smlouvy. Poskytovatel je oprávněn komunikovat s Objednatelem prostřednictvím datové schránky. Poskytovatel bere na vědomí, že dle zákona č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, ve znění pozdějších předpisů, je Objednatel povinen v zásadě doručovat veškerou korespondenci právnické osobě, která má zpřístupněnu svou datovou schránku, prostřednictvím datové schránky.
5. Ukládá-li Smlouva doručit některý dokument v písemné podobě, může být doručen buď v tištěné podobě nebo v elektronické (digitální) podobě v dohodnutém formátu, např. jako dokument aplikací Microsoft Office 2016 a vyšší či PDF apod.
6. Smluvní strany se zavazují, že v případě změny své poštovní adresy, faxového čísla nebo e-mailové adresy budou o této změně druhou smluvní stranu informovat nejpozději do 5 pracovních dnů.
7. Poskytovatel se zavazuje ve lhůtě 5 pracovních dnů ode dne doručení odůvodněné písemné žádosti Objednatele o výměnu oprávněné osoby Poskytovatele dle odst. 12.1.2 této Smlouvy podílející se na plnění této Smlouvy, s níž Objednatel nebyl z jakéhokoliv důvodu spokojen, nahradit jinou vhodnou osobou s odpovídající kvalifikací.
8. Poskytovatel se zavazuje poskytnout Objednateli potřebnou součinnost při výkonu finanční kontroly dle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole), ve znění pozdějších předpisů.
NÁHRADA ŠKODY
1. Každá ze stran je povinna nahradit způsobenou škodu v rámci platných právních předpisů a této Smlouvy. Obě strany se zavazují k vyvinutí maximálního úsilí k předcházení škodám a k minimalizaci vzniklých škod.
2. Poskytovatel je povinen nahradit Objednateli veškeré škody, způsobené porušením této Smlouvy či povinností uložených Poskytovateli dle nařízení GDPR. Poskytovatel se zároveň zavazuje Objednatele odškodnit za jakékoliv škody, které mu v důsledku porušení povinností Poskytovatele vzniknou na základě pravomocného rozhodnutí soudu či jiného státního orgánu.
3. Žádná ze stran není povinna nahradit škodu, která vznikla v důsledku věcně nesprávného nebo jinak chybného zadání, které obdržela od druhé strany. V případě, že Objednatel poskytl Poskytovateli chybné zadání a Poskytovatel s ohledem na svou povinnost poskytovat všechny části Předmětu plnění dle této Smlouvy s odbornou péčí mohl a měl chybnost takového zadání zjistit, smí se ustanovení předchozí věty dovolávat pouze v případě, že na chybné zadání Objednatele písemně upozornil a Objednatel trval na původním zadání.
4. Žádná ze smluvních stran nemá povinnost nahradit škodu způsobenou porušením svých povinností vyplývajících z této Smlouvy, bránila-li jí v jejich splnění některá z překážek vylučujících povinnost k náhradě škody ve smyslu § 2913 odst. 2 občanského zákoníku.
5. Smluvní strany se zavazují upozornit druhou smluvní stranu bez zbytečného odkladu na vzniklé překážky vylučující povinnost k náhradě škody bránící řádnému plnění této Smlouvy. Smluvní strany se zavazují k vyvinutí maximálního úsilí k odvrácení a překonání překážek vylučujících povinnost k náhradě škody.
6. Smluvní strany se dohodly, že omezují právo na náhradu škody, která může při plnění této Smlouvy jedné smluvní straně vzniknout, a to na celkovou částku odpovídající 200 % z celkové částky za Bezpečnostní testování poskytované po celou dobu trvání této Smlouvy. Ustanovení § 2898 občanského zákoníku však tímto není dotčeno.
7. Případná náhrada škody bude zaplacena v měně platné na území České republiky, přičemž pro propočet na tuto měnu je rozhodný kurs České národní banky ke dni vzniku škody.
8. Každá ze smluvních stran je oprávněna požadovat náhradu škody i v případě, že se jedná o porušení povinnosti, na kterou se vztahuje smluvní pokuta či sleva z ceny, a to v celém rozsahu.
SANKCE
1. Smluvní strany se dohodly, že:
  1. v případě porušení povinnosti Poskytovatele dle odst. 8.2 této Smlouvy vzniká Objednateli nárok na smluvní pokutu ve výši 10.000,- Kč za každý i započatý den, kdy Poskytovatel nepředloží pojistnou smlouvu dle odst. 8.2 této Smlouvy, pojistku potvrzující uzavření takové smlouvy nebo pojistný certifikát potvrzující uzavření takové smlouvy;
  2. v případě porušení povinnosti Poskytovatele stanovené v odst. 9.7 této Smlouvy vzniká Objednateli nárok na smluvní pokutu ve výši 10.000,- Kč za každý i započatý den prodlení, kdy Poskytovatel nepředloží originál bankovní záruky;
  3. v případě prodlení Poskytovatele se zahájením, provedením nebo dokončením Bezpečnostního testování v termínech uvedených v dílčích Plánech testování vytvořených dle čl. 5 vzniká Objednateli nárok na smluvní pokutu ve výši 50.000,- Kč za každý i započatý den prodlení;
  4. v případě porušení povinnosti Poskytovatele poskytovat plnění dle této Smlouvy za účasti členů realizačního týmu a provádět jejich změny pouze se souhlasem Objednatele dle odst. 3.6 této Smlouvy nebo poskytovat plnění dle této Smlouvy s využitím poddodavatelů uvedených v Příloze 5 této Smlouvy dle odst. 3.7 této Smlouvy vzniká Objednateli nárok na smluvní pokutu ve výši 10.000,- Kč za každé jednotlivé porušení takovéto povinnosti;
  5. v případě porušení povinnosti Poskytovatele dodržet veškeré záruky o technickém a organizačním zabezpečení osobních údajů dle čl. 13 této Smlouvy je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 10.000,- Kč za každý jednotlivý případ takového porušení. Zaplacením smluvní pokuty není dotčen nárok Objednatele na náhradu škody v plné výši ani povinnost Poskytovatele bezodkladně odstranit závadný stav;
  6. v případě porušení jakékoliv povinnosti Poskytovatele dle čl. 18 této Smlouvy zjištěném při zákaznickém auditu dle odst. 18.5 této Smlouvy je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 200.000,‑ Kč za každý jednotlivý případ porušení;
  7. v případě nepravdivého prohlášení dle odst. 18.3 nebo porušení jakékoliv povinnosti Poskytovatele dle odst. 18.11 této Smlouvy nebo Kybernetických požadavků uvedených v Příloze č. 7 této Smlouvy je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 20.000,- Kč za každý jednotlivý případ takového porušení.
  8. za každý případ neumožnění anebo odepření provedení kontroly a auditu dle odst. 18.5 je Poskytovatel povinen zaplatit Objednateli smluvní pokutu ve výši 300.000,- Kč za každý jednotlivý případ takového porušení. Tento odstavec se neaplikuje, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB.
2. Smluvní pokuty a/nebo úroky z prodlení jsou splatné 30. den ode dne doručení písemné výzvy oprávněné smluvní strany k jejich úhradě povinnou smluvní stranou, není-li ve výzvě uvedena lhůta delší. Slevy z ceny je Poskytovatel povinen zohlednit při fakturaci, nestane-li se tak, je Objednatel oprávněn slevu z ceny uplatnit písemnou výzvou obdobně jako v případě smluvní pokuty.
3. Není-li dále stanoveno jinak, zaplacení jakékoliv sjednané smluvní pokuty nezbavuje povinnou smluvní stranu povinnosti splnit své závazky.

KYBERNETICKÁ BEZPEČNOST
1. Poskytovatel tímto bere na vědomí, že
  1. Objednatel je správcem informačních systémů kritické informační infrastruktury dle ustanovení § 3 písm. c) ZKB, správcem komunikačního systému kritické informační infrastruktury dle ustanovení § 3 písm. d) ZKB a správcem významných informačních systémů dle ustanovení § 3 písm. e) ZKB. Poskytovatel dále tímto bere na vědomí, že poskytnutí plnění specifikovaného shora v odst. 3 této Smlouvy bude prováděno na aktivech systémů kritické informační infrastruktury a aktivech významných informačních systémů.
  2. Objednatel chápe Poskytovatele jako významného dodavatele ve smyslu § 2 písm. n) a § 8 odst. 1 písm. f) a odst. 2 VKB.
2. Smluvní strany potvrzují, že rozsah zapojení Poskytovatele na zajištění bezpečnosti aktiv informačních a komunikačních systémů kritické informační infrastruktury a aktiv významných informačních systému je určen předmětem této Smlouvy.
3. Poskytovatel prohlašuje, že má zavedena všechna bezpečnostní opatření, procesy a technologie, které prohlásil za zavedené (odpověděl ANO) v dotazníku pro hodnocení úrovně kybernetické bezpečnosti dodavatele, který tvoří Přílohu 7 této Smlouvy.
4. Poskytovatel je povinen v rozsahu plnění této Smlouvy naplnit všechny bezpečnostní požadavky uvedené v Příloze 6 této Smlouvy (dále jen „Kybernetické požadavky“) a to do začátku poskytování prvního Bezpečnostního testování dle odst. 3.1 této Smlouvy.
5. Poskytovatel umožní Objednateli v roční periodě po dobu platnosti této Smlouvy a 1 (slovy: jeden) rok po ukončení platnosti této Smlouvy provedení zákaznického auditu (kontroly):
  1. jehož rozsah bude ohraničen využíváním ICT prostředků Poskytovatele pro potřeby plnění této Smlouvy a uloženými či zpracovávanými daty a informacemi Objednatele v ICT prostředí Poskytovatele, a
  2. jehož předmětem bude naplnění Kybernetických požadavků a vyhodnocení rizik dle čl. 3 Přílohy 6 této Smlouvy.
6. Objednatel je oprávněn při kontrole Kybernetických požadavků využít třetí stranu. V případě využití třetí strany bude Objednatel odpovídat za třetí stranu, jako by kontrolu prováděl sám, včetně odpovědnosti za způsobenou újmu.
7. Poskytovatel umožní Objednateli kontrolu Kybernetických požadavků provedenou prostředky Objednatele nebo třetí strany, a to v lokalitě Poskytovatele i vzdáleně, pokud to technické prostředky Poskytovatele umožňují.
8. Poskytovatel se nad rámec plnění dle odst. 3.1 této Smlouvy zavazuje poskytnout Objednateli součinnost minimálně v rozsahu 10 MD při provádění každého zákaznického auditu ze strany Objednatele a pro tuto činnost zajistit účast kvalifikovaných pracovníků.
9. Dále se Poskytovatel zavazuje nedostatky zjištěné:

odstranit ve lhůtě určené v písemném oznámení Objednatele nebo ve lhůtě přiměřené.

Odstavce 18.5 až 18.9 této Smlouvy se neaplikují, pokud je Poskytovatel pro poskytování předmětu plnění orgánem nebo osobou uvedenou v § 3 písm. a) až g) ZKB.
Poskytovatel se nad rámec čl. 8 této Xxxxxxx také zavazuje:
1. Poskytnout na vyžádání Objednateli dokumenty a obdobné vstupy, které budou prokazovat naplnění Kybernetických požadavků.
2. Na požádání s Objednatelem konzultovat kdykoli v průběhu realizace plnění dle této Smlouvy detailní nastavení bezpečnostních opatření k naplnění Kybernetických požadavků a pro takovéto konzultace zajistit účast kvalifikovaných pracovníků.
3. Neprodleně informovat Objednatele o všech významných změnách v naplnění Kybernetických požadavků, které nastanou kdykoli v průběhu trvání této Smlouvy.
4. Bezodkladně a s vyvinutím nejlepšího úsilí zajistit náhradní způsob naplnění Kybernetických požadavků, pokud stávající řešení přestalo být funkční a efektivní.
5. Bezodkladně informovat Objednatele o bezpečnostních incidentech, které mohou ovlivnit realizaci plnění dle této Smlouvy.

Při výkonu své činnosti včas a prokazatelně upozornit Objednatele na zřejmou nevhodnost jeho příkazů či doporučení vztahující se ke Kybernetickým požadavkům a jejichž následkem může vzniknout újma nebo nesoulad se zákony nebo obecně závaznými právními předpisy.

Porušení povinností Poskytovatele dle odst. 18.11 této Smlouvy je považováno za porušení smluvní povinnosti dle bodu 17.1.6 této Smlouvy a v případě nedodržení Kybernetických požadavků ze strany Poskytovatele platí adekvátně ustanovení odst. 17.2 a 17.3 této Smlouvy.

PLATNOST A ÚČINNOST SMLOUVY
1. Tato Xxxxxxx nabývá platnosti dnem jejího podpisu oběma smluvními stranami a účinnosti dnem uveřejnění v registru smluv dle zákona č. 340/2015 Sb., o registru smluv, ve znění pozdějších předpisů, a uzavírá se na dobu určitou v trvání 48 měsíců od zahájení prvního Bezpečnostního testování dle odst. 3.1 této Smlouvy, případně do vyčerpání finanční částky ve výši 48 248 702 Kč,- Kč bez DPH, s ohledem na to, která z uváděných skutečností nastane dříve.
2. Objednatel je oprávněn bez jakýchkoliv sankcí písemně odstoupit od této Smlouvy, případně od dílčích smluv v případě:
  1. prodlení Poskytovatele s provedením Bezpečnostního testování po dobu delší než 30 pracovních dnů oproti termínu plnění stanovenému ve vzájemně odsouhlaseném dílčím Plánu testování, pokud Poskytovatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Objednatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 10 pracovních dnů od doručení takovéto výzvy,
  2. v opakovaném nedodržení kvality Bezpečnostního testování dle odst. 5.12 této Smlouvy.
  3. porušení povinnosti ochrany důvěrných informací či osobních údajů dle této Smlouvy ze strany Poskytovatele,
  4. že nebude schválena částka ze státního rozpočtu, či z jiných zdrojů (např. z EU), která je potřebná k úhradě za plnění této Smlouvy v následujícím roce,
  5. Poskytovatel do zahájení prvního Bezpečnostního testování dle odst. 3.1 této Smlouvy nenaplní všechny Kybernetické požadavky uvedené v Příloze 6 této Smlouvy.
3. Objednatel je dále oprávněn bez jakýchkoliv sankcí odstoupit od této Smlouvy, případně od dílčích smluv, pokud:
  1. bylo příslušným orgánem vydáno pravomocné rozhodnutí zakazující plnění této Smlouvy;
  2. na majetek Poskytovatele je prohlášen úpadek nebo Poskytovatel sám podá dlužnický návrh na zahájení insolvenčního řízení;
  3. Poskytovatel vstoupí do likvidace; nebo
  4. proti Poskytovateli je zahájeno trestní stíhání pro trestný čin podle zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob, ve znění pozdějších předpisů.
4. Poskytovatel je oprávněn odstoupit od této Smlouvy, případně od dílčích smluv v případě prodlení Objednatele se zaplacením jakékoliv splatné částky dle této Smlouvy po dobu delší než 60 kalendářních dnů, pokud Objednatel nezjedná nápravu ani v dodatečné přiměřené lhůtě, kterou mu k tomu Poskytovatel poskytne v písemné výzvě ke splnění povinnosti, přičemž tato lhůta nesmí být kratší než 15 pracovních dnů od doručení takovéto výzvy.
5. Účinky odstoupení od Xxxxxxx, případně dílčích smluv nastávají dnem doručení písemného oznámení o odstoupení druhé smluvní straně.
6. Po uplynutí 6 měsíců po nabytí účinnosti Smlouvy dle odst. 19.1 této Smlouvy je Objednatel oprávněn tuto Smlouvu písemně vypovědět bez udání důvodů, a to s výpovědní dobou 3 měsíců ode dne doručení písemné výpovědi Poskytovateli, které počíná běžet prvním dnem měsíce následujícího po doručení výpovědi.
7. Výpověď dle odst. 19.6 této Smlouvy může být i částečná a Objednatel může Smlouvu vypovídat ve vztahu k jakékoli části plnění Poskytovatele.
8. Ukončením účinnosti této Smlouvy nejsou dotčena ustanovení Smlouvy týkající se licencí, záruk, práv z vady, povinnosti nahradit škodu a povinnosti hradit smluvní pokuty, ustanovení o ochraně informací a osobních údajů, ani další ustanovení a nároky, z jejichž povahy vyplývá, že mají trvat i po zániku účinnosti této Smlouvy.
ŘEŠENÍ SPORŮ
1. Práva a povinnosti smluvních stran touto Smlouvou výslovně neupravené se řídí občanským zákoníkem a příslušnými právními předpisy souvisejícími.
2. Smluvní strany se zavazují vyvinout maximální úsilí k odstranění vzájemných sporů vzniklých na základě této Smlouvy nebo v souvislosti s touto Smlouvou, včetně sporů o její výklad či platnost a usilovat o jejich vyřešení nejprve smírně prostřednictvím jednání oprávněných osob nebo pověřených zástupců. Tím není dotčeno právo smluvních stran obrátit se ve věci na příslušný obecný soud České republiky.
ZÁVĚREČNÁ USTANOVENÍ
1. Tato Smlouva představuje úplnou dohodu smluvních stran o předmětu této Smlouvy. Tuto Smlouvu je možné měnit pouze písemnou dohodou smluvních stran ve formě číslovaných dodatků této Smlouvy uzavřených v souladu s příslušnými ustanoveními ZZVZ a podepsaných osobami oprávněnými jednat jménem smluvních stran, není-li v této Smlouvě výslovně uvedeno jinak.
2. Veškerá práva a povinnosti vyplývající z této Smlouvy přecházejí, pokud to povaha těchto práv a povinností nevylučuje, na právní nástupce smluvních stran.
3. Poskytovatel není oprávněn postoupit peněžité nároky vůči Objednateli na třetí osobu bez předchozího písemného souhlasu Objednatele.
4. Tato Xxxxxxx je uzavírána elektronicky, tj. prostřednictvím uznávaného elektronického podpisu ve smyslu zákona č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, ve znění pozdějších předpisů, opatřeného časovým razítkem.
5. Nedílnou součást Smlouvy tvoří tyto přílohy:

Příloha 1		Specifikace testů
Příloha 2		Sazby jednotlivých rolí
Příloha 3		Realizační tým Poskytovatele
Příloha 4		Oprávněné osoby
Příloha 5		Seznam poddodavatelů
Příloha 6		Kybernetické požadavky
Příloha 7		Dotazník pro hodnocení úrovně kybernetické bezpečnosti dodavatele
Příloha 8		Etický kodex
Příloha 9		Podmínky v návaznosti na sankce proti Rusku a Bělorusku v souvislosti se situací na Ukrajině

Smluvní strany prohlašují, že si tuto Smlouvu přečetly, že s jejím obsahem souhlasí a na důkaz toho k ní připojují svoje podpisy.

Objednatel

V Praze dne dle elektronického podpisu

Poskytovatel

V Praze dne dle elektronického podpisu

_______________________________________

Česká republika – Ministerstvo práce a sociálních věcí

Xxx. Xxxxx Xxxxxx

vrchní ředitel sekce informačních technologií

___________________________________

AEC a.s.

Ing. Xxxxx Xxxxxxx

člen představenstva

Příloha 1 - Specifikace testů

[SAMOSTATNÁ PŘÍLOHA]

Důvěrné informace – neveřejný údaj

Příloha 2 - Sazby jednotlivých rolí

Role	Sazba v Kč bez DPH
Tester junior	6 800,-
Tester senior	9 800,-
Manažer testování	9 800,-
Bezpečnostní specialista	10 500,-
Bezpečnostní architekt	10 500,-
Tester - Developer	10 200,-
Tester BCM	12 000,-
Bezpečnostní auditor	10 200,-

Příloha 3 - Realizační tým Poskytovatele

Skupina pracovníků s uvedením kontaktu (změna pracovníka musí být provedena v souladu s čl. 3.6 této Smlouvy). Role nesmí zastávat shodní pracovníci, tzn. že pro tyto každou roli musí Poskytovatel obsadit různou osobou.

Člen realizačního týmu	Kontaktní údaje
Tester junior 1	Jméno a příjmení: Xxxxxxx Xxxxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Tester junior 2	Jméno a příjmení: Xxxxxxx Xxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Tester senior 1	Jméno a příjmení: Xxxxx Xxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Tester senior 2	Jméno a příjmení: Xxxx Xxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Manažer testování	Jméno a příjmení: Xxxxxxxx Xxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Bezpečnostní specialista	Xxxxx a příjmení: Xxx Xxxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Bezpečnostní architekt	Xxxxx a příjmení: Xxxxx Xxxxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Tester - Developer	Jméno a příjmení: Xxxxx Xxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Tester BCM	Jméno a příjmení: Xxxxx Xxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj
Bezpečnostní auditor	Xxxxx a příjmení: Xxxx Xxxxxxxxxxx Telefon: neveřejný údaj E-mail: neveřejný údaj

Příloha 4 - oprávněné osoby

Za Objednatele:

ve věcech smluvních:

Xxxxx a příjmení	Xxx. Xxxxx Xxxxxx
Role/Pozice	Vrchní ředitel sekce ICT
E-mail	neveřejný údaj
Telefon	neveřejný údaj

ve věcech technických:

Xxxxx a příjmení	Xxx. Xxxxx Xxxxxx
Role/Pozice	Ředitel odboru provozu ICT
E-mail	neveřejný údaj
Telefon	neveřejný údaj

Xxxxx a příjmení	Xxx. Xxx Xxxxxxxxx, Ph.D.
Role/Pozice	Manažer kybernetické bezpečnosti
E-mail	neveřejný údaj
Telefon	neveřejný údaj

Za Poskytovatele:

ve věcech smluvních:

Xxxxx a příjmení	Xxx. Xxxx Xxxxxxx
Role/Pozice	Business Security Consultant
E-mail	neveřejný údaj
Telefon	neveřejný údaj

ve věcech technických:

Xxxxx a příjmení	Xxx. Xxxxx Xxxxxx
Role/Pozice	Delivery manager
E-mail	neveřejný údaj
Telefon	neveřejný údaj
Xxxxx a příjmení	Xxxxxxxx Xxx
Role/Pozice	Manažer testování
E-mail	neveřejný údaj
Telefon	neveřejný údaj

Příloha 5 - Seznam poddodavatelů

Předmět plnění nebude plněn prostřednictvím poddodavatelů.

Příloha 6 - Požadavky na zajištění kybernetické bezpečnosti (Kybernetické požadavky)

Za účelem povinností stanovených Objednateli jakožto povinné osobě vyhláškou č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti), je Poskytovatel povinen nad rámec povinností stanovených Smlouvou plnit níže uvedené povinnosti zejm. součinnostního a bezpečnostního charakteru dle této Přílohy č. 10 Smlouvy.

Poskytovatel je povinen plnit relevantní povinnosti v rozsahu a způsobem, aby byl naplněn účel právní úpravy oblasti bezpečnostních opatření, kybernetických bezpečnostních incidentů, reaktivních opatření, náležitostí podání v oblasti kybernetické bezpečnosti a likvidaci dat ve vztahu k povinnostem, které tato právní úprava stanovuje Objednateli jakožto povinné osobě dle předpisů z oblasti kybernetické bezpečnosti, a to i v případě změny příslušné právní úpravy. V takovém případě je Objednatel oprávněn požadovat od Poskytovatele přiměřenou součinnost i nad rámec povinností stanovených v této Příloze č. 10 Smlouvy, avšak vždy pouze za účelem zajištění plnění povinnosti Poskytovatele z oblasti kybernetické bezpečnosti ve smyslu shora uvedeného.

Čl. 1 Systém řízení bezpečnosti informací

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 3 vyhlášky č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) (dále jen „VKB“), které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Prosadit bezpečnostní zásady a procesy, které budou pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Poskytovatele při poskytování předmětu plnění.
Na základě bezpečnostních potřeb a výsledků hodnocení rizik zavést příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, monitorovat je, vyhodnocovat jejich účinnost.
Vést záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenávat veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy Objednateli zpřístupnit.
Stanovit a udržovat aktuální bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně Poskytovatele při poskytování předmětu plnění. Bezpečnostní politika musí obsahovat hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací.
Stanovit a udržovat aktuální opatření bezpečnosti ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.

Čl. 2 Řízení aktiv

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 4 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Stanovit a udržovat rozsah a seznam aktiv využívaných pro plnění této Smlouvy (aktivy se rozumí např. data a informace k předmětu plnění dle této Smlouvy, systémy ICT, moduly, HW prvky - infrastruktura hlasové a datové komunikace, aplikace, databáze, servery, úložiště, koncová zařízení – pracovní stanice typu osobní počítač nebo notebook, mobilní koncová zařízení – přenosná zařízení typu telefon, tablet, notebook, netbook, PDA, apod.), a tato aktiva strukturovaně popsat a Objednateli předložit do 30 dnů od podpisu této smlouvy a následně na vyžádání, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.

Čl. 3 Řízení rizik

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 5 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Řídit vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.
V minimálním intervalu 1x ročně vytvořit a předložit Zprávu o řízení kybernetických rizik, která bude minimálně pokrývat:
- Vyhodnocení stavu kybernetické bezpečnosti za hodnocený rok
- Identifikaci a hodnocení rizik s vazbou na předmět plnění
- Realizovaná bezpečnostní opatření
- Nepokrytá bezpečnostní rizika a návrh opatření
- Vyhodnocení bezpečnostních událostí a incidentů
- Aktuální stav souladu Poskytovatele s těmito Kybernetickými požadavky

Čl. 4 Organizační bezpečnost

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 6 VKB, které musí splnit Objednatel. Minimálně se Dodavatel zavazuje v rozsahu předmětu plnění na své straně:

Jmenovat nejpozději do 5 dnů po uzavření této smlouvy odpovědnou kontaktní osobu pro potřeby zajištění plnění těchto Kybernetických požadavků a související komunikaci mezi Smluvními stranami (dále také jen „Kontaktní osoba“). Kontaktní osobu sdělí Poskytovatel písemně Objednateli v téže lhůtě. Objednatel stanovuje, že určení Kontaktní osoby pro bezpečnost na straně Poskytovatele nemá dopad na ustanovení článku 17.1.1 a 17.1.3 Smlouvy týkající se odpovědných osob ve věcech smluvních a technických.

Využívat pro poskytování předmětu plnění pouze oprávněných osob, které byly řádně seznámeny příslušnými ustanoveními interních řídících aktů Objednatele a mají ověřenou kvalifikaci, znalosti a zkušenosti k řádnému poskytování předmětu plnění.

Čl. 5 Řízení dodavatelů

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 8 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Využívá-li při poskytování předmětu plnění poddodavatele, zajistit adekvátní dodržování Kybernetických požadavků rovněž ve smluvních vztazích se svými poddodavateli, přičemž tuto skutečnost se Poskytovatel zavazuje doložit Objednateli do 10 dnů od podpisu příslušné Prováděcí smlouvy, na jejímž plnění se budou poddodavatelé podílet v případě služeb Rozvoje, nebo do 10 dnů od počátku poskytování jiných služeb, písemným prohlášením o dodržování Kybernetických požadavků u svých poddodavatelů.
Pokud při poskytování předmětu plnění dochází ke zpracování osobních údajů, zajistit nad rámec čl. 18 Smlouvy uzavření samostatných smluv (tj. smluv se svými poddodavateli, zaměstnanci a případnými dalšími osobami podílejícími se na poskytování plnění z této smlouvy) ve smyslu příslušných ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Čl. 6 Bezpečnost lidských zdrojů

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 9 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
- Zajistit, aby Kontaktní osoba nejpozději do 30 dnů od uzavření smlouvy potvrdila písemně Objednateli, že všechny osoby podílející se na poskytování předmětu plnění za stranu Poskytovatel byly prokazatelně seznámeny s těmito Kybernetickými požadavky a příslušnými ustanoveními interních řídících aktů Objednatele.
- Dodržovat příslušná ustanovení interních řídících aktů Objednatele v rozsahu, v jakém byl s těmito akty seznámen. Za prokazatelné seznámení se považuje školení pracovníků Poskytovatel zajištěné Objednatelem, protokolární či elektronické předání příslušné dokumentace nebo Objednatelem zajištěný přístup na sdílené úložiště obsahující příslušné interní akty řízení.
- V případě, že je součástí předmětu plnění služba dohledu nad předmětem plnění, definovat a naplnit role a odpovědnosti pro monitoring sítě a zařízení v rozsahu předmětu plnění.
- Zajistit, aby osoby podílející se na poskytování plnění Objednateli v prostředí nebo s prostředky Objednatele, a to i tehdy, pokud jsou prostředky Objednatele používány mimo jeho prostředí:
  - Pro uložení a sdíleni dat a informací Objednatele využívali pouze k tomu schválené prostředky (aktiva);
  - Neukládali ani nesdíleli data i informace eticky nevhodného obsahu, odporující dobrým mravům nebo poškozující jméno Objednatele;
  - Nestahovali, nesdíleli, neukládali, nearchivovali ani neinstalovali datové a spustitelné soubory v rozporu s licenčními podmínkami nebo autorským zákonem;
  - Nenavštěvovali internetové stránky s eticky nevhodným obsahem;
  - Nerealizovali pokusy o neautorizovaný přístup ke zdrojům Objednatele ani ke zdrojům jiných subjektů;
  - Nerealizovali pokusy o neoprávněnou modifikaci ani jiné neoprávněné zásahy do prostředků Objednatele, a to ani v případě, kdy jim byl prostředek Objednatele svěřen do správy;
  - Nepodíleli se s prostředky Objednatele na šíření spamu ani škodlivého softwaru.
Dodavatel si je vědom, že součástí podmínek pro získání přístupu ke zdrojům a aktivům Objednatele je na straně Objednatele zpracování osobních údajů pracovníků Poskytovatele, kteří se podílejí na zajištění předmětu plnění. Pokud nebude Objednateli umožněno osobní údaje dotčených pracovníků Poskytovatele zpracovat, nebude těmto pracovníkům umožněn žádný přístup ke zdrojům Objednatele.

Čl. 7 Řízení provozu a komunikací

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 10 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Zajistit bezpečný provoz informačního systému a infrastruktury využívané pro poskytování předmětu plnění.
Na vyžádání poskytnout Objednateli přehled, report, či jinou adekvátní informaci o bezpečnostních opatřeních zavedených na svém informačním systému a infrastruktuře.
Zajistit, že pro poskytování předmětu plnění budou využívány pouze aplikace a technologie, které jsou v souladu s platnou českou a evropskou legislativou, především s ohledem na licenční podmínky a autorský zákon.

Čl. 8 Řízení změn

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 11 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
1. Přiměřeně reagovat na změny na straně Objednatele a upravit na své straně technická a organizační opatření tak, aby odpovídala novému stavu po provedení změny.
2. Aktivně spolupracovat při testování významné změny.

Čl. 9 Řízení přístupu

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 12 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Přidělovat oprávnění svým jednotlivým pracovníkům ve smyslu oprávnění k výkonu činností tak, aby byla minimalizována rizika nežádoucího přístupu k aktivům Objednatele.
Zajistit, aby udělený přístup nebyl sdílen více osobami za stranu Poskytovatele, pokud sdílený přístup nevyžaduje využívaná technologie. V takovém případě musí Poskytovatel vést evidenci využívání sdílených přístupů a tuto na vyžádání předložit Objednateli kdykoli v průběhu trvání účinnosti této smlouvy a 2 roky po ukončení její platnosti.
Stanovit v požadavku na přístup rozsah dat/informací, služby, účelu, pro které je přístup k systému ICT Objednatele požadován a časový údaj o délce platnosti přístupu (např.: na dobu neurčitou / 1 rok / 1 měsíc / 1 den).
Zajistit, aby osoby podílející se na poskytování předmětu plnění a mající přístup k informačním aktivům Objednatele chránily autentizační prostředky a údaje a nikdy neposkytovaly neautorizovaný přístup dalším osobám.
Průběžně kontrolovat a vyhodnocovat oprávněnost a potřebu přístupu, jak fyzického, tak i logického, u všech osob na straně Poskytovatele, které přistupují do prostředí Objednatele.

Poskytovatel bere na vědomí, že přístup k systému ICT je možné povolit pouze fyzické identitě zaměstnance Poskytovatele / poddodavatele Poskytovatele zaevidované v Active Directory MPSV (registr identit), a to na základě požadavku Poskytovatele na přístup.
Poskytovatel bere na vědomí, že přidělení oprávnění zaměstnanci Poskytovatele musí být řízeno principem nezbytného minima a není nárokové.
Poskytovatel bere na vědomí, že v případě neúspěšných pokusů o autentizaci uživatele (osoby za stranu Poskytovatele) může být příslušný účet zablokován a řešen jako bezpečnostní incident a mohou být uplatněny příslušné postupy zvládání bezpečnostního incidentu (např. okamžité zrušení přístupu k informačním aktivům Objednatele).

Čl. 10 Akvizice, vývoj a údržba

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 13 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
- Zajistit bezpečnou implementaci, inovaci, aktualizaci a testování technologií, které jsou předmětem plnění.
- Předat Objednateli dokumentaci předmětu plnění minimálně v následujícím rozsahu:
  - dokumentaci všech bezpečnostních nastavení, funkcí a mechanismů
  - dokumentaci obsahující popis autorizačního konceptu a oprávnění
  - dokumentaci obsahující instalační a konfigurační postupy

Čl. 11 Zvládání kybernetických bezpečnostních událostí a incidentů

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 14 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
- Xxxxxxxx a popsat na své straně činnosti, role a jejich odpovědnosti a pravomoci vedoucí k rychlému a účinnému zvládání bezpečnostních incidentů.
- Bez zbytečného odkladu hlásit Objednateli všechny bezpečnostní události a incidenty s potenciálním negativním dopadem na Objednatele, a to stanoveným komunikačním kanálem nebo prostřednictvím Kontaktní osoby.
- Vyhodnocovat informace o bezpečnostních incidentech a uchovávat je pro budoucí použití s ohledem na požadavky platné české a evropské legislativy.
- V případě vzniku bezpečnostní události a následného zvládání a vyhodnocování bezpečnostního incidentu a/nebo v případě podezření na bezpečnostní incident poskytnout Objednateli aktivní součinnost a relevantní informace o podezřelém zařízení či osobě na straně Poskytovatele.
- Bez zbytečného odkladu a po dohodě s Objednatelem realizovat opatření požadovaná Objednatelem v dohodnutých termínech ke snížení dopadu bezpečnostního incidentu nebo zamezení pokračování incidentu.
- Spolupracovat při analýze příčin bezpečnostního incidentu a navrhnout opatření s cílem zamezit jeho opakování v případě, že Poskytovatel bezpečnostní incident zapříčinil nebo se na jeho vzniku podílel.
Poskytovatel bere na vědomí, že postup zvládání bezpečnostního incidentu či jiný důsledek porušení Kybernetických požadavků, jehož příčina je na straně Poskytovatele, nebude posuzován jako okolnost vylučující odpovědnost Poskytovatele za prodlení s řádným a včasným plněním předmětu Smlouvy a nebude důvodem k jakékoli náhradě případné újmy Poskytovateli či jiné osobě ze strany Objednatele. Ostatní ustanovení ohledně odpovědnosti Poskytovatele za prodlení obsažená ve Smlouvě nejsou tímto ustanovením dotčena.

Čl. 12 Řízení kontinuity činností

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 15 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
1. Zajistit adekvátní kontinuitu svých aktiv, které jsou potřebné k poskytování předmětu plnění.
2. Pravidelně kontrolovat a testovat, že je schopen kontinuitu aktiv zajistit dle sjednané úrovně služeb.

Čl. 13 Kontrola a audit

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 8 a § 16 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění poskytnout adekvátní součinnost při výkonu kontroly Objednatele ze strany Úřadu dle § 23 ZKB.

Čl. 14 Fyzická bezpečnost

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 17 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:
1. Dodržovat provozní řády budov (režimová opatření) a využívaných prostor, zejména pak v oblasti fyzické ochrany bezpečnostních zón, kde jsou umístěny aktiva systémů ICT, anebo datové nosiče.
2. V rozsahu předmětu plnění zajistit fyzické zabezpečení, zejména označení, uchování a likvidaci, instalačních, záložních nebo archivních médií a dokumentace v souladu s klasifikací aktiv Objednatele, pokud s ní byl Poskytovatel seznámen.

Čl. 15 Bezpečnostní nástroje

Poskytovatel se bude v rozsahu předmětu plnění aktivně podílet na splnění povinností uvedených v § 18 až § 27 VKB, které musí splnit Objednatel. Minimálně se Poskytovatel zavazuje v rozsahu předmětu plnění na své straně:

Realizovat bezpečnostní opatření pro odstranění nebo blokování síťového spojení/síťových spojení, které/která neodpovídají požadavkům na ochranu integrity komunikační sítě.
Realizovat přístup z mobilního zařízení do prostředí Objednatele pouze prostřednictvím zabezpečeného připojení virtuální privátní sítě (VPN) nebo zvolit adekvátní technické opatření.
Připojovat do prostředí Objednatele pouze ta síťová zařízení (switch, přístupový bod wifi, router, hub apod.), která prošla schvalovacím procesem a jejich připojení bylo schváleno oprávněnou osobu ve věcech technických na straně Objednatele určenou v této smlouvě.
Bez zbytečného odkladu deaktivovat všechna nevyužívaná zakončení sítě anebo nepoužívané porty aktivního síťového prvku, který je v rozsahu předmětu plnění a je ve správě Poskytovatele.
Na aktiva Objednatele neinstalovat a nepoužívat v prostředí Objednatele tyto typy nástrojů, pokud nejsou součástí předmětu plnění:
1. Keylogger – software nebo hardware, který neautorizovaně zaznamenává stisky kláves s cílem narušit důvěrnost zadávaných dat a informací.
2. Sniffer – software nebo hardware umožňující odposlouchávání síťového provozu.
3. Analyzátor zranitelností (scanner zranitelností) – softwarový nebo hardwarový nástroj umožňující vyhledávání zranitelností systémů ICT, detekování dostupných síťových služeb a portů, běžících procesů, běžících aplikací a jejich verzí apod.
4. Backdoor – skrytý softwarový nebo hardwarový nástroj, který umožňuje obejití schválených autentizačních procedur, instalovaný s cílem budoucího snadnějšího a neautorizovaného přístupu do systému ICT.
5. Malware a jiný škodlivý software, který narušuje, obchází či jinak omezuje bezpečnostní opatření v prostředí Objednatele.
Připojovat do prostředí Objednatele pouze zařízení ICT, která jsou chráněna proti malware a jinému škodlivému softwaru, pokud to jejich technologie umožňuje.
Průběžně zaznamenávat a uchovávat data o provozu zařízení ICT (provozní a lokalizační údaje) v rozsahu předmětu plnění a v souladu s požadavky platné české a evropské legislativy.
Na vyžádání poskytnout Objednateli report obsahující výsledky monitorování veškerých uživatelských a administrátorských aktivit a jiných událostí v rozsahu předmětu plnění, a to po celou dobu trvání smlouvy a do 2 let po jejím ukončení.
Zajistit sběr informací o provozních a bezpečnostních činnostech v rozsahu předmětu plnění a ochranu získaných informací před jejich neoprávněným čtením nebo změnou.
Pro on-line transakce realizované prostřednictvím webových technologií implementovat TLS/SSL certifikáty s cílem zajistit jejich důvěrnost, integritu a identitu komunikujících protistran.
Veškeré neveřejné informace poskytnuté Objednatelem chránit vhodným šifrováním a proti neautorizovanému přístupu, a to zejména na mobilních zařízeních.

Poskytovatel bere na vědomí, že v případě, kdy technické spojení Objednatele s Poskytovatelem narušuje chod služeb Objednatele, může být toto spojení ihned ukončeno bez předchozího upozornění, pokud tato smlouva nestanoví jinak.
Poskytovatel bere na vědomí, že veškeré aktivity Poskytovatele a jeho plnění realizované v prostředí Objednatele jsou monitorovány a vyhodnocovány v rozsahu předměty plnění a v souladu s interními dokumenty Objednatele, se kterými byl Poskytovatel seznámen.

Příloha 7 - Dotazník pro hodnocení úrovně kybernetické bezpečnosti dodavatele

[SAMOSTATNÁ PŘÍLOHA]

Důvěrné informace – neveřejný údaj

Příloha 8 – Etický kodex

FÉROVÁ HOSPODÁŘSKÁ SOUTĚŽ

Smluvní strany se tímto společně hlásí k hodnotám férové hospodářské soutěže, vedené etickými postupy a prostředky a odmítají chování mající charakter pletich, zjednávání výhod, přijímání či poskytování úplatků v jakékoliv formě (finanční prostředky, dary, výhody, aj.), a to bez ohledu na skutečnost, dosahuje-li intenzity relevantní z pohledu trestního práva.

STŘET ZÁJMŮ

Smluvní strany se zavazují předcházet jakémukoliv střetu zájmů při navazování obchodních vztahů, a to v jakékoliv formě, čímž se rozumí zejména propojení členů managementu, ať už na úrovni rodinné, bez ohledu na stupeň příbuzenství, politické, přátelské či jiné. Kromě prokazatelného střetu zájmů se Smluvní strany zavazují v maximální možné míře předcházet i vzniku důvodného podezření, které má potenciál, aby dalo vzniknout negativnímu obrazu dotčených v mínění široké veřejnosti.

PŘIJATELNÉ PRACOVNÍ PODMÍNKY

Smluvní strany se hlásí k hodnotám zajištění důstojných pracovních podmínek osob podílejících se na plnění dle Rámcové dohody, a to zejména jedná-li se o nízko kvalifikované profese (vyloučeny však nejsou ani jakékoliv jiné skupiny zaměstnanců). Smluvní strany se zavazují zejména striktně dodržovat veškerá ustanovení právních předpisů, která se týkají minimální i zaručené mzdy, bezpečnosti práce, přijatelných pracovních podmínek a poskytování spravedlivé odměny za práci. Součástí společně přejatého závazku je i to, že se Smluvní strany vyvarují jakékoliv snahy, ať už zjevné či skryté, která by směřovala k obcházení pracovněprávních předpisů.

ZÁKAZ DISKRIMINACE A ZAJIŠTĚNÍ ROVNÝCH PŘÍLEŽITOSTÍ

Smluvní strany se hlásí k hodnotám odsuzujícím diskriminaci v jakékoliv podobě, resp. k hodnotám zajišťujícím rovné příležitosti všech skupin osob bez ohledu na rozdíly mezi nimi, čímž se rozumí zejména potírání nerovného zacházení vznikajícího na základě rasy, etnického původu, pohlaví, sexuální orientace, přesvědčení či světového názoru. Za nežádoucí a nepřijatelné jednání je považováno rovněž i neposkytování rovných příležitostí ve vedení společnosti a jiných řídících funkcí a při odměňování.

EKONOMICKÉ ASPEKTY

Smluvní strany se hlásí k hodnotám odsuzujícím jednání nežádoucí z ekonomického hlediska, čímž se rozumí zejména snaha o praní špinavých peněz, snaha o legalizaci nezákonných
a neetických zisků, důvěryhodnost dodavatele z hlediska sídla podnikání a realizace finančních transakcí (sídlo dodavatele nebo platební instituce, kterou používá, se nesmí nacházet v zemi zapsané na seznamu zemí nespolupracujících daňových jurisdikcí vytvořených Evropskou unií). Dodavatel se zavazuje, že všem svým obchodním partnerům v pod-dodavatelském řetězci zajistí férové smluvní podmínky, tím se rozumí zejména nastavení stejné nebo kratší splatnosti faktur (a její dodržování), jaká je ujednána ve Xxxxxxx, resp. podpora malých a středních podniků.

EKOLOGICKÉ ASPEKTY

Smluvní strany se hlásí k hodnotám odsuzujícím jednání nežádoucí z ekologického hlediska, čímž se rozumí zejména jakékoliv jednání, které je v rozporu se správním či trestním právem a jehož cílem, vedlejším efektem či konečným nebo dílčím důsledkem je poškozování životního prostředí v jakékoliv formě, ať už z hlediska ekologické zátěže, udržitelnosti, nežádoucího vlivu na lidský organismus či živou a neživou přírodu, vypouštění zplodin do ovzduší, nebo jakoukoliv obdobnou činnost.

PŘÍLOHA 9 – podmínky v návaznosti na sankce proti Rusku a Bělorusku v souvislosti se situací na Ukrajině

Dle článku 5k nařízení Rady (EU) č. 833/2014 ze dne 31. července 2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině, ve znění pozdějších předpisů^³ (dále jen „Nařízení č. 833/2014“) se zakazuje zadat nebo dále plnit jakoukoli veřejnou zakázku nebo koncesní smlouvu spadající do oblasti působnosti směrnic o zadávání veřejných zakázek, jakož i čl. 10 odst. 1, 3, odst. 6 písm. a) až e), odst. 8, 9 a 10, článků 11, 12, 13 a 14 směrnice 2014/23/EU, článků 7 a 8, čl. 10 písm. b) až f) a písm. h) až j) směrnice 2014/24/EU, článku 18, čl. 21 písm. b) až e) a písm. g až i), článků 29 a 30 směrnice 2014/25/EU a čl. 13 písm. a) až d), f) až h) a j) směrnice 2009/81/EC:

jakémukoli ruskému státnímu příslušníkovi, fyzické či právnické osobě nebo subjektu či orgánu se sídlem v Rusku,
právnické osobě, subjektu nebo orgánu, které jsou z více než 50 % přímo či nepřímo vlastněny některým ze subjektů uvedených v písmeni a) tohoto odstavce, nebo
fyzické nebo právnické osobě, subjektu nebo orgánu, které jednají jménem nebo na pokyn některého ze subjektů uvedených v písmeni a) nebo b) tohoto odstavce,

včetně poddodavatelů, dodavatelů nebo subjektů, jejichž způsobilost je využívána ve smyslu směrnic o zadávání veřejných zakázek, pokud představují více než 10 % hodnoty zakázky, nebo společně s nimi.

Dodavatel sám, případně dodavatelé v jeho rámci sdružení za účelem účasti v zadávacím řízení, ani žádný z jeho poddodavatelů nebo jiných osob, jejichž způsobilost je využívána ve smyslu směrnic o zadávání veřejných zakázek, nejsou osobami dle Nařízení č. 833/2014.

Dle čl. 2 nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny, ve znění pozdějších předpisů (dále jen „Nařízení č. 269/2014“) a dalších prováděcích předpisů k tomuto Nařízení č. 269/2014^⁴, a dle nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska, ve znění pozdějších předpisů (dále jen „Nařízení č. 765/2006“) nesmějí být žádné finanční prostředky ani hospodářské zdroje přímo ani nepřímo zpřístupněny fyzickým nebo právnickým osobám, subjektům či orgánům nebo fyzickým nebo právnickým osobám, subjektům či orgánům s nimi spojeným uvedeným v příloze I Nařízení č. 269/2014, v příloze Nařízení č. 765/2006 a případně v dalších předpisech nebo v jejich prospěch (tzv. sankční seznamy a dále jen „Osoby vedené na sankčních seznamech“).

Dodavatel se zavazuje zajistit po celou dobu plnění dle této Rámcové dohody, že

k jejímu plnění nevyužije poddodavatele, na nějž byly takové sankce uvaleny, a to zejména u poddodavatelů provádějících minimálně 10 % plnění veřejné zakázky a ať už se takové sankce budou týkat přímo osoby poddodavatele nebo jeho přímých nebo nepřímých vlastníků, a
v případě uvalení sankcí na kteréhokoliv svého poddodavatele nebo jeho přímého nebo nepřímého vlastníka v průběhu jeho poskytování plnění veřejné zakázky takového poddodavatele bez zbytečného odkladu nahradí v souladu se zněním této Rámcové dohody;

Dodavatel se zavazuje, že po celou dobu plnění dle této Rámcové dohody nebude nabízet a v rámci plnění veřejné zakázky ani dodávat zboží spadající pod

rozhodnutí a nařízení Rady EU vydaných z důvodu činností Ruska destabilizujících situaci na Ukrajině, a to zejména ve smyslu nařízení Rady EU č. 833/2014 ze dne 31. července 2014 (dále jen „Nařízení k dovozu“), dalších nařízení Rady EU, kterým se mění Nařízení k dovozu, popřípadě jež samostatně zavádí další mezinárodní finanční sankce sledující stejný účel jako ty z Nařízení k dovozu nebo
jiné aplikovatelné sankce platné v České republice nebo zemi sídla Dodavatele, kterými je sledován stejný účel jako těmi z Nařízení k dovozu.

1 zejména nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny (ve znění pozdějších aktualizací) a nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska (ve znění pozdějších aktualizací)

2 zejména nařízení Rady (EU) č. 269/2014 ze dne 17. března 2014, o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny (ve znění pozdějších aktualizací) a nařízení Rady (ES) č. 765/2006 ze dne 18. května 2006 o omezujících opatřeních vůči prezidentu Xxxxxxxxxxx a některým představitelům Běloruska (ve znění pozdějších aktualizací)

3 Zejm. Nařízení Rady (EU) 2022/576 ze dne 8. dubna 2022, kterým se mění nařízení (EU) č. 833/2014 o omezujících opatřeních vzhledem k činnostem Ruska destabilizujícím situaci na Ukrajině

4 Zejm, Prováděcí nařízení Rady (EU) 2022/581 ze dne 8. dubna 2022, kterým se provádí nařízení (EU) č. 269/2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny a prováděcí nařízení Rady (EU) 2022/658 ze dne 21. dubna 2022, kterým se provádí nařízení (EU) č. 269/2014 o omezujících opatřeních vzhledem k činnostem narušujícím nebo ohrožujícím územní celistvost, svrchovanost a nezávislost Ukrajiny.

Document Metadata

Table of Contents

Free Standard Templates

RÁMCOVÁ DOHODA O poskytování služeb TESTOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI

Document Metadata